IAM Identity Center ABACで のアクセス許可ポリシーを作成する - AWS IAM Identity Center
aws:PrincipalTag 条件キー

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

IAM Identity Center ABACで のアクセス許可ポリシーを作成する

設定した属性値に基づいて AWS リソースにアクセスできるユーザーを決定するアクセス権限ポリシーを作成できます。属性を有効にして指定するABACと、IAMIdentity Center は認証されたユーザーの属性値を に渡IAMしてポリシー評価で使用します。

aws:PrincipalTag 条件キー

アクセスコントロール属性は、アクセスコントロールルールを作成するための aws:PrincipalTag 条件キーを使って、アクセス権限セットに使用することができます。例えば、次の信頼ポリシーでは、組織内のすべてのリソースに、それぞれのコストセンターをタグ付けすることができます。また、開発者にコストセンターのリソースへのアクセスを許可する単一のアクセス権限セットを使用することもできます。これで、開発者が SSO とコストセンター属性を使ってアカウントに連携すると、それぞれのコストセンターのリソースにしかアクセスできなくなります。チームがプロジェクトに開発者やリソースを追加しても、リソースに正しいコストセンターをタグ付けするだけで済みます。次に、デベロッパーが AWS フェデレーションするときに、セッションでコストセンター情報を渡します AWS アカウント。その結果、組織がコストセンターに新しいリソースや開発者を追加しても、開発者は権限の更新を必要とせずに、コストセンターに整合したリソースを管理することができます。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeInstances"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:StartInstances",
                "ec2:StopInstances"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "ec2:ResourceTag/CostCenter": "${aws:PrincipalTag/CostCenter}"
                }
            }
        }
    ]
}

詳細については、「」を参照してくださいaws:PrincipalTag および EC2: 「 ユーザーガイド」の「一致するプリンシパルタグとリソースタグ」に基づいてインスタンスを起動または停止しますIAM

ポリシーの条件に無効な属性が含まれている場合、ポリシーの条件は失敗し、アクセスは拒否されます。詳細については、「ユーザーが外部の ID プロバイダーを使用してサインインしようとすると、「予期しないエラーが発生しました」というエラーが発生します」を参照してください。