Amazon CodeCatalyst は新規のお客様には提供されなくなりました。既存のお客様は、通常どおりサービスを引き続き使用できます。詳細については、「[CodeCatalyst から移行する方法](migration.md)」を参照してください。
翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# タグを使用してアカウント接続リソースへのアクセスを制御する
タグは、リソースにアタッチしたり、タグ付けをサポートするサービスへのリクエストに渡したりすることができます。ポリシーでは、リソースにタグを付けることができ、一部のアクションにタグを含めることができます。タグ付け条件キーには、`aws:RequestTag` および `aws:ResourceTag` 条件キーが含まれます。IAM ポリシーを作成するときに、タグ条件キーを使用して以下をコントロールできます。
+ どのユーザーが接続リソースに対してアクションを実行できるか (リソースに既に付けられているタグに基づいて)。
+ どのタグをアクションのリクエストで渡すことができるか。
+ リクエストで特定のタグキーを使用できるかどうか。
次の例は、CodeCatalyst アカウント接続ユーザー用のポリシーでタグ条件を指定する方法を示しています。条件キーの詳細については、[IAM のポリシー条件キー](security-iam.md#id-based-policies-conditionkeys) を参照してください。
## 例 1: リクエストのタグに基づいてアクションを許可する
次のポリシーでは、アカウント接続を承認するアクセス許可をユーザーに付与します。
これを行うには、リクエストに指定されているタグ `Project` の値が `ProjectA` である場合に、`AcceptConnection` アクションと `TagResource` アクションを許可します。(この `aws:RequestTag` 条件キーを使用して、IAM リクエストで渡すことができるタグをコントロールします)。`aws:TagKeys` 条件は、タグキーの大文字と小文字を区別します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"codecatalyst:AcceptConnection",
"codecatalyst:TagResource"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:RequestTag/Project": "ProjectA"
},
"ForAllValues:StringEquals": {
"aws:TagKeys": ["Project"]
}
}
}
]
}
```
------
## 例 2: リソースタグに基づいてアクションを許可する
次のポリシーは、アカウント接続リソースに対する操作と情報の取得を行うアクセス許可をユーザーに付与します。
これを行うために、接続に含まれているタグ `Project` の値が `ProjectA` である場合に、特定のアクションを許可します。(この `aws:ResourceTag` 条件キーを使用して、IAM リクエストで渡すことができるタグをコントロールします)。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"codecatalyst:GetConnection",
"codecatalyst:DeleteConnection",
"codecatalyst:AssociateIamRoleToConnection",
"codecatalyst:DisassociateIamRoleFromConnection",
"codecatalyst:ListIamRolesForConnection",
"codecatalyst:PutBillingAuthorization"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Project": "ProjectA"
}
}
}
]
}
```
------