タグを使用したアクセスのコントロールとジョブのラベル付け
タグを追加することで、S3 バッチ操作ジョブへのラベル付けとアクセスの制御を実行できます。タグを使用して、バッチ操作ジョブの担当者を識別できます。ジョブタグがあることで、ユーザーによるジョブのキャンセル、確認状態にあるジョブの有効化、ジョブの優先度レベルの変更を許可したり制限したりできます。タグをアタッチしてジョブを作成します。作成後にジョブにタグを追加できます。各タグはキーと値のペアであり、ジョブの作成時に追加することも、後で更新することもできます。
警告
ジョブタグに機密情報や個人データが含まれていないことを確認してください。
以下のタグ付けの例を考えてみます。経理部門にバッチ操作ジョブを作成するとします。Department タグに値 Finance を割り当ててジョブが作成される場合に、ユーザーに AWS Identity and Access Management の呼び出しを許可する CreateJob (IAM) ポリシーを作成できます。さらに、財務部門のメンバーであるすべてのユーザーにそのポリシーをアタッチできます。
この例を進めて、ユーザーに、必要なタグの付いたジョブの優先度を更新することを許可するポリシーや、それらのタグの付いたジョブをキャンセルすることを許可するポリシーを作成できます。詳細については、「ジョブタグを使用したバッチオペレーションのアクセス許可の制御」を参照してください。
タグは、新しい S3 バッチ操作ジョブの作成時に追加することも、既存のジョブに追加することもできます。
タグには以下の制限があります。
タグキーが一意である限り、最大 50 個のタグをジョブに関連付けることができます。
タグキーには最大 128 個の Unicode 文字、タグ値には最大 256 個の Unicode 文字を使用できます。
キーと値は大文字と小文字が区別されます。
タグの制限の詳細については、AWS Billing and Cost Management ユーザーガイドのユーザー定義タグの制限を参照してください。
S3 バッチ操作ジョブのタグ付けに関連する API オペレーション
Amazon S3 では、S3 バッチ操作ジョブのタグ付けについて次の API オペレーションがサポートされています。
GetJobTagging – バッチオペレーションジョブに関連付けられたタグセットを返します。
PutJobTagging – ジョブに関連付けられたタグのセットを置き換えます。この API アクションを使用した S3 バッチ操作ジョブタグの管理には、2 つの異なるシナリオがあります。
ジョブにタグがない - ジョブに一連のタグを追加できます (ジョブに以前のタグがない)。
ジョブに既存のタグのセットがある - 既存のタグのセットを変更するには、既存のタグのセット全体を置き換えます。または、GetJobTagging により既存のタグのセットを取得し、そのタグのセットに変更を加えて、この API アクションにより既存のタグのセットを、変更したタグのセットに置き換えます。
注記
タグセットを空にしてこのリクエストを送信すると、S3 バッチ操作 によってオブジェクトの既存のタグセットが削除されます。この方法を使用する場合は、階層 1 リクエスト (
PUT) に対して料金が発生します。詳細については、「Amazon S3 の料金」を参照してください。 バッチ操作ジョブの既存のタグを削除するには、
DeleteJobTaggingアクションをお勧めします。このアクションでは、料金が発生せずに同じ結果が得られるためです。
DeleteJobTagging - バッチオペレーションジョブに関連付けられたタグセットを削除します。
