翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
ビューへのタグの追加
ビューにタグを追加することにより、ビューを分類できます。タグは、キー名の文字列とそれに関連するオプションの値文字列の形式をとる、顧客提供のメタデータです。AWS リソースへのタグ付けの詳細については、「Amazon Web Services 全般のリファレンス」の「AWS リソースのタグ付け」を参照してください。
ビューにタグを追加する
AWS Management Console または AWS CLI のコマンドを使用するか、AWS SDK 内の同等の API オペレーションを実行すると、Resource Explorer ビューにタグを追加できます。
タグによるアクセス許可の制御
タグ付けの主な目的の 1 つは、属性ベースのアクセス制御 (ABAC) 戦略をサポートすることです。ABAC は、リソースにタグを付けることにより権限管理をシンプルにします。また、特定の方法でタグ付けされたリソースに対する権限をユーザーに付与することができます。
例えば、次のシナリオが考えられます。ViewA という名前のビューには、タグ environment=prod (キー名=値) を添付します。別の ViewB は environment=beta とタグ付けされているかもしれません。それぞれのロールやユーザーがアクセスできる環境に基づいて、各ロールとユーザーに同じタグと値をタグ付けします。
また、AWS Identity and Access Management (IAM) アクセス許可ポリシーを IAM ロール、グループ、ユーザーに割り当てることができます。このポリシーは、検索リクエストを行うロールまたはユーザーに、ビューに添付された environment タグと同じ値の environment タグがある場合にのみ、ビューにアクセスして検索する権限を付与します。
この方法の利点はダイナミックな管理が可能な点であり、誰がどのリソースにアクセスできるかをリスト管理する必要がない点です。ただし、すべてのリソース (ビュー) とプリンシパル (IAM ロールおよびユーザー) に正しくタグ付けすることが重要です。そうすれば、ポリシーを変更しなくても権限が自動的に更新されます。
ABAC ポリシー内のタグを参照する
ビューにタグを付けたら、それらのタグを使用してそのビューへのアクセスをダイナミックに制御できます。以下のポリシー例では、IAM プリンシパルとビューの両方にタグキー environment と何らかの値がタグ付けされていることを前提としています。それが完了したら、以下のポリシー例をプリンシパルにアタッチできます。これで、各ロールとユーザーは、プリンシパルに添付された environment タグと完全に一致する environment タグ値がタグ付けされた任意のビューを使用して Search を実行できます。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "resource-explorer-2:GetView", "resource-explorer-2:Search" ], "Resource": "arn:aws:resource-explorer-2:us-east-1:123456789012:view/*", "Condition": { "ForAnyValue:StringEquals": { "aws:ResourceTag/environment": "${aws:PrincipalTag/environment}" } } } ] }
プリンシパルとビューの両方に environment タグがあるが値が一致しない場合、またはどちらかに environment タグがない場合、Resource Explorer は検索リクエストを拒否します。
ABAC を使用してリソースへのアクセスを安全に許可する方法について詳しくは、「AWS の ABAC とは」を参照してください。
