AWS Global Accelerator でのタグベースのポリシーの使用 - AWS Global Accelerator

AWS Global Accelerator でのタグベースのポリシーの使用

IAM ポリシーの設計時に特定のリソースへのアクセスを許可することで、詳細なアクセス許可を設定できます。ただし、管理するリソースの数が増えるに従って、このタスクはより困難になります。リソースにタグ付けしてポリシーステートメント条件でタグを使用することにより、このタスクをより容易にすることができます。特定のタグを使用する任意のリソースへのアクセスを一括して付与できます。このタグは、リソースを作成するとき、または後でリソースを更新することで、関連するリソースに繰り返し適用できます。

条件内でタグを使用することは、リソースとリクエストへのアクセスをコントロールするひとつの方法です。タグは、リソースにアタッチするか、タグ付けをサポートするサービスへのリクエストに渡すことができます。Global Accelerator では、アクセラレーターのみがタグを含めることができます。Global Accelerator のタグ付けの詳細については、AWS Global Accelerator でのタグ付け を参照してください。

IAM ポリシーを作成するときに、タグ条件キーを使用して以下をコントロールできます。

  • 既にあるタグに基づいて、どのユーザーがアクセラレーターに対してアクションを実行できるか。

  • アクションのリクエストで渡すことができるタグ。

  • リクエストで特定のタグキーを使用できるかどうか。

たとえば、AWS GlobalAcceleratorFullAccess マネージドポリシーは、任意のリソースに対して Global Accelerator アクションを実行するための無制限のアクセス許可をユーザーに付与します。次のポリシーは、この権限を制限し、認証されていないユーザーに対して実稼働環境アクセラレーターで Global Accelerator アクションを実行するアクセス許可を拒否します。お客様の管理者は、権限のない IAM ユーザーには、マネージドユーザーポリシーに加えて、この IAM ポリシーをアタッチする必要があります。

{ 
   "Version":"2012-10-17",
   "Statement":[ 
      { 
         "Effect":"Deny",
         "Action":"*",
         "Resource":"*",
         "Condition":{ 
            "ForAnyValue:StringEquals":{ 
               "aws:RequestTag/stage":"prod"
            }
         }
      },
      { 
         "Effect":"Deny",
         "Action":"*",
         "Resource":"*",
         "Condition":{ 
            "ForAnyValue:StringEquals":{ 
               "aws:ResourceTag/stage":"prod"
            }
         }
      }
   ]
}

タグ条件キーの完全な構文とセマンティクスについては、「IAM ユーザーガイド」の「IAM タグを使用したアクセスコントロール」を参照してください。