タグで Lightsail リソースへのアクセスをコントロールする

Amazon Lightsail のタグを使用して、リソース、リクエスト、およびタグキーへのアクセスをコントロールできます。このガイドでは、Lightsail リソースの作成や削除に必要な key-value タグを指定する AWS Identity and Access Management (IAM) ポリシーを作成し、また、これらのリクエストを行うユーザーやグループにポリシーをアタッチする方法について説明します。

ステップ 1: IAM ポリシーを作成する

まず、IAM コンソールで以下の IAM ポリシーを作成します。IAM ポリシーの作成の詳細については、IAM ドキュメントの「IAM ポリシーの作成」を参照してください。

次に続くポリシーは、作成リクエストに allow のキータグと、 true の値が定義されていない限り、ユーザーによる新しい Lightsail リソースの作成も禁止します。このポリシーは、 allow/true のキーバリューのタグが定義されていない限り、ユーザーによるリソースの削除も禁止します。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "lightsail:Create*",
                "lightsail:TagResource",
                "lightsail:UntagResource"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:RequestTag/allow": "true"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "lightsail:Delete*",
                "lightsail:TagResource",
                "lightsail:UntagResource"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/allow": "true"
                }
            }
        }
    ]
}
    

次に続くポリシーでは、キーバリューのタグが allow/false ではないリソースのタグの変更をユーザーに禁止します。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "lightsail:TagResource"
            ],
            "Resource": "*",
            "Condition": {
                "StringNotEquals": {
                    "aws:ResourceTag/allow": "false"
                }
            }
        }
    ]
}
    

ステップ 2: ユーザーまたはグループにポリシーをアタッチする

IAM ポリシーを作成したら、キーと値のペアを使用して、Lightsail リソースを作成する必要があるユーザーやグループにアタッチします。ユーザーまたはグループに IAM ポリシーをアタッチする方法の詳細については、IAM ドキュメントの「IAM ポリシーの追加と削除」を参照してください。