カスタマー管理ポリシーのタグ付け
IAM タグのキーバリューのペアを使用することにより、カスタム属性をカスタマー管理ポリシーに追加できます。例えば、部門情報を使用してポリシーにタグを付けるには、タグキーと Department
とタグ値 eng
を追加します。あるいは、ポリシーにタグを付けて、特定の環境 (Environment = lab
など) 向けであることを示すこともできます。リソースへのアクセスを制御したり、どのタグをリソースにアタッチできるかを制御したりするために、タグを使用します。タグを使用したアクセスの制御については、「タグを使用した IAM ユーザーおよびロールへのアクセスとそのユーザーおよびロールのアクセスの制御」を参照してください。
AWS STS のタグを使用して、ロールを引き受けるとき、またはユーザーをフェデレートするときにカスタム属性を追加することもできます。詳細については、「AWS STS でのセッションタグの受け渡し」を参照してください。
カスタマー管理ポリシーのタグ付けに必要なアクセス許可
IAM エンティティ (ユーザーまたはロール) に、カスタマー管理ポリシーへのタグ付けを許可するには、アクセス許可を設定する必要があります。IAM ポリシーの次の IAM タグアクションのいずれかまたはすべてを指定することができます。
-
iam:ListPolicyTags
-
iam:TagPolicy
-
iam:UntagPolicy
IAM エンティティ (ユーザーまたはロール) にカスタマー管理ポリシーへのタグの追加、一覧表示、削除を許可するには
タグを管理する必要のある IAM エンティティのアクセス許可ポリシーに、以下のステートメントを追加します。アカウント番号を使用し、<policyname>
を、タグの管理が必要とされているポリシーの名前に置き換えます。この例の JSON ポリシードキュメントを使用してポリシーを作成する方法については、「JSON エディターを使用したポリシーの作成」を参照してください。
{ "Effect": "Allow", "Action": [ "iam:ListPolicyTags", "iam:TagPolicy", "iam:UntagPolicy" ], "Resource": "arn:aws:iam::
<account-number>
:policy/<policyname>
" }
IAM エンティティ (ユーザーまたはロール) に特定のカスタマー管理ポリシーへのタグの追加を許可するには
特定のポリシーのタグを追加する必要はあるが、削除は不要である IAM エンティティのアクセス許可ポリシーに、以下のステートメントを追加します。
注記
iam:TagPolicy
アクションには、iam:ListPolicyTags
アクションも含める必要があります。
このポリシーを使用するには、<policyname>
を、タグの管理が必要とされているポリシーの名前に置き換えます。この例の JSON ポリシードキュメントを使用してポリシーを作成する方法については、「JSON エディターを使用したポリシーの作成」を参照してください。
{ "Effect": "Allow", "Action": [ "iam:ListPolicyTags", "iam:TagPolicy" ], "Resource": "arn:aws:iam::
<account-number>
:policy/<policyname>
" }
または、IAMFullAccess
IAM カスタマー管理ポリシーのタグの管理 (コンソール)
IAM カスタマー管理ポリシーのタグは、AWS Management Console から管理できます。
カスタマー管理ポリシーのタグを管理するには (コンソール)
AWS Management Console にサインインして、IAM コンソール (https://console.aws.amazon.com/iam/)
を開きます。 -
コンソールのナビゲーションペインで、[Policies (ポリシー)] を選択し、続いて編集するカスタマー管理ポリシーの名前を選択します。
-
[タグ] タブを選択し、[タグを管理] を選択します。
-
タグのセットを完了するには、タグを追加または削除します。次に、[Save changes] (変更の保存) を選択します。
IAM カスタマー管理ポリシーのタグの管理 (AWS CLI または AWS API)
IAM カスタマー管理ポリシーのタグを一覧表示、アタッチ、または削除することができます。IAM カスタマー管理ポリシーのタグを管理するには、AWS CLI または AWS API を使用します。
IAM カスタマー管理ポリシーに現在アタッチされているタグを一覧表示するには (AWS CLI または AWS API)
-
AWS CLI: aws iam list-policy-tags
-
AWS API: ListPolicyTags
IAM カスタマー管理ポリシーにタグをアタッチするには (AWS CLI または AWS API)
-
AWS CLI: aws iam tag-policy
-
AWS API: TagPolicy
IAM カスタマー管理ポリシーからタグを削除するには (AWS CLI または AWS API)
-
AWS CLI: aws iam untag-policy
-
AWS API: UntagPolicy
他の AWS サービスのリソースにタグをアタッチする方法については、これらのサービスのドキュメントを参照してください。
IAM を使用して、タグで詳細なアクセスを許可する設定については、「IAM ポリシーの要素: 変数とタグ」を参照してください。