翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# アクセス許可の設定
<a name="gettingstarted-prereqs-permissions"></a>

タグエディタ を最大限に活用するには、リソースをタグ付けする、またはリソースのタグキーとタグ値を表示するための追加アクセス許可が必要になる場合があります。これらのアクセス許可は次のように分類されます。
+ 個々のサービスに対するアクセス許可。これらのサービスからのリソースをタグ付けし、リソースグループに含めることができます。
+ タグエディタ コンソールを使用するために必要なアクセス許可。

管理者の場合は、 AWS Identity and Access Management (IAM) サービスを使用してポリシーを作成することで、ユーザーにアクセス許可を付与できます。まず IAM ロール、ユーザーまたはグループを作成し、必要なアクセス許可のあるポリシーを適用します。IAM ポリシーの作成とアタッチについては、「[ポリシーの使用](https://docs.aws.amazon.com//IAM/latest/UserGuide/ManagingPolicies.html)」を参照してください。

## 個々のサービスに対するアクセス許可
<a name="rg-perms-individual-services"></a>

**重要**  
このセクションでは、**他の AWS サービスコンソールや APIs から**リソースにタグを付ける場合に必要なアクセス許可について説明します。

リソースにタグを追加するには、リソースが属するサービスに必要なアクセス許可が必要です。例えば、Amazon EC2 インスタンスにタグ付けするには、 [Amazon EC2CreateTags](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CreateTags.html) オペレーションなどの、そのサービスの API でのタグ付けオペレーションに対するアクセス許可が必要です。

## タグエディタコンソールを使用するために必要なアクセス許可
<a name="gettingstarted-prereqs-permissions-te"></a>

タグエディタコンソールを使用してリソースを一覧表示およびタグ付けするには、ユーザーの IAM ポリシーステートメントに以下のアクセス許可を追加する必要があります。によって維持および最新の管理 AWS ポリシーを追加するか AWS、独自のカスタムポリシーを作成して維持できます。

### タグエディタのアクセス許可に AWS マネージドポリシーを使用する
<a name="prereqs-permissions-managedpolicies"></a>

タグエディタは、ユーザーに事前定義された一連のアクセス許可を提供するために使用できる以下の AWS 管理ポリシーをサポートしています。これらのマネージドポリシーは、作成した他のポリシーと同様に、任意のロール、ユーザー、グループにアタッチできます。

**[https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/ResourceGroupsandTagEditorReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/ResourceGroupsandTagEditorReadOnlyAccess)**  
このポリシーは、アタッチされた IAM ロールまたはユーザーに、 AWS Resource Groups とタグエディタの両方の読み取り専用オペレーションを呼び出すアクセス許可を付与します。リソースのタグを読み取るには、別のポリシーを使用して、そのリソースに対するアクセス許可も必要です。以下の「**重要**」の注記で詳細を確認してください。

**[https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/ResourceGroupsandTagEditorFullAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/ResourceGroupsandTagEditorFullAccess)**  
このポリシーは、Resource Groups のオペレーションとタグエディタ の読み取り・書き込みオペレーションを呼び出すアクセス許可を、アタッチされた IAM ロールまたはユーザーに付与します。リソースタグに対する読み取りまたは書き込みを行うには、別のポリシーを使用して、そのリソースに対するアクセス許可も必要です。以下の「**重要**」の注記で詳細を確認してください。

**重要**  
上記の 2 つのポリシーは、タグエディタ のオペレーションを呼び出し、タグエディタ コンソールを使用するアクセス許可を付与します。しかしながら、オペレーションを呼び出すアクセス許可だけでなく、アクセスしようとしているタグがある特定のリソースに対する適切なアクセス許可も必要です。タグへのアクセス許可を付与するには、次のいずれかのポリシーをアタッチする必要があります。  
 AWS マネージドポリシーは、すべてのサービスのリソースの読み取り専用オペレーションにアクセス許可[https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/ReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/ReadOnlyAccess)を付与します。 は、このポリシーが使用可能になると AWS 、自動的に新しい でこのポリシーを最新の状態に保ち AWS のサービス ます。
多くの サービスは、サービス固有の読み取り専用 AWS 管理ポリシーを提供しており、このポリシーを使用して、そのサービスによって提供されるリソースのみにアクセスを制限できます。たとえば、Amazon EC2 は [https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AmazonEC2ReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AmazonEC2ReadOnlyAccess) を提供しています。
ユーザーがアクセスできるようにするいくつかのサービスとリソースに対して、限定される読み取り専用オペレーションにのみアクセス許可を付与する独自のポリシーを作成することができます。このポリシーでは、許可リスト戦略または拒否リスト戦略のいずれかを使用します。  
許可リスト戦略では、ポリシーで***明示的に許可する***まで、アクセスはデフォルトで拒否されるという事実を利用します。そのため、次の例のようなポリシーを使用できます。  

****  

  ```
  {
      "Version":"2012-10-17",		 	 	 
      "Statement": [
          {
              "Effect": "Allow",
              "Action": [ "tag:*" ],
              "Resource": [
                  "arn:aws:ec2:{{us-east-1}}:{{444455556666}}:*",
                  "arn:aws:s3:::{{amzn-s3-demo-bucket2}}"
                  ]
          }
      ]
  }
  ```
または、明示的にブロックするリソース以外のすべてのリソースへのアクセスを許可する拒否リスト戦略を使用することもできます。これには、アクセスを許可する関連ユーザーに適用される別のポリシーが必要です。次のポリシー例では、Amazon リソースネーム (ARN) によって一覧表示される特定のリソースへのアクセスを拒否します。  

****  

  ```
  {
      "Version":"2012-10-17",		 	 	 
      "Statement": [
          {
              "Effect": "Deny",
              "Action": [ "tag:*" ],
              "Resource": [
                  "arn:aws:ec2:{{us-east-1}}:{{123456789012}}:instance:*",
                  "arn:aws:s3:::{{amzn-s3-demo-bucket3}}"
               ]
          }
      ]
  }
  ```

### タグエディタ のアクセス許可を手動で追加する
<a name="prereqs-permissions-manualadd"></a>
+ `tag:*` (このアクセス許可は、すべての タグエディタ でのアクションを許可します。代わりに、ユーザーが使用できるアクションを制限する場合は、アスタリスクを[特定のアクション](https://docs.aws.amazon.com//IAM/latest/UserGuide/list_awsresourcegroups.html)、またはカンマで区切ったアクションのリストに置き換えることができます)
+ `tag:GetResources`
+ `tag:TagResources`
+ `tag:UntagResources`
+ `tag:getTagKeys`
+ `tag:getTagValues`
+ `resource-explorer:*`
+ `resource-groups:SearchResources`
+ `resource-groups:ListResourceTypes`

**注記**  
`resource-groups:SearchResources` アクセス許可により、タグキーまたは値で検索をフィルタリングするときに、タグエディタでリソースを一覧表示できます。  
`resource-explorer:ListResources` アクセス許可により、検索タグを定義せずにリソースを検索するときに、タグエディタでリソースを一覧表示できます。

## タグエディタ を使用するためのアクセス許可を付与する
<a name="gettingstarted-prereqs-permissions-howto"></a>

 AWS Resource Groups およびタグエディタを使用するポリシーをロールに追加するには、次の手順を実行します。

1. [IAM コンソールの「**ロール**」ページ](https://console.aws.amazon.com/iamv2/home#/roles)を開きます。

1. タグエディタ のアクセス許可を付与するロールを見つけます。ロール名を選択して、ロールの 「**概要**」ページを開きます。

1. **権限**タブで、**権限を追加する**を選択します。

1. **既存のポリシーを直接添付する**を選択します。

1. **[ポリシーの作成]** を選択します。

1. **JSON** タブに、以下のポリシーステートメントを貼り付けます。

------
#### [ JSON ]

****  

   ```
   {
     "Version":"2012-10-17",		 	 	 
     "Statement": [
       {
         "Effect": "Allow",
         "Action": [
           "tag:GetResources",
           "tag:TagResources",
           "tag:UntagResources",
           "tag:getTagKeys",
           "tag:getTagValues",
           "resource-explorer:*",
           "resource-groups:SearchResources",
           "resource-groups:ListResourceTypes"
         ],
         "Resource": "*"
       }
     ]
   }
   ```

------
**注記**  
このポリシーステートメントの例は、 タグエディタ のアクションに対してのみを実行するアクセス許可を付与します。

1. **次へ: タグ****次へ: 確認**の順に選択します。

1. 新しいポリシーの名前と説明を入力します。例えば、**AWSTaggingAccess**。

1. **[ポリシーの作成]** を選択します。

ポリシーが IAM に保存され、ロール、グループ、ユーザーなど他のプリンシパルにアタッチできるようになりました。プリンシパルにポリシーをアタッチする方法の詳細については、「IAM ユーザーガイド」の 「[IAM アイデンティティの許可の追加および削除](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html)」を参照してください。

## タグに基づく認可とアクセス制御
<a name="rg-perms-iam"></a>

AWS のサービス は以下をサポートしています。
+ **アクションに戻づくポリシー** – 例えば、ユーザーに、 `GetTagKeys` もしくは `GetTagValues` のオペレーションの実行を許可し、それ以外のオペレーションを許可しないポリシーを作成できます。
+ **ポリシーにおけるリソースレベルでのアクセス許可** – 多くのサービスでは [ARN](https://docs.aws.amazon.com//general/latest/gr/aws-arns-and-namespaces.html) を使用してポリシーで個々のリソースを指定できます。
+ **タグに基づいた認可** – 多くのサービスでは、ポリシーの条件にリソースタグを使用できます。たとえば、 ユーザーに、同じタグを持つグループへのフルアクセスを許可するポリシーを作成できます。詳細については、「 *AWS Identity and Access Management ユーザーガイド*」の[「ABAC とは AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)」を参照してください。
+ **一時的な認証情報** – ユーザーは、タグエディタ のオペレーションを許可するポリシーが関連付けられたロールを引き受けることができます。

タグエディタ はサービスにリンクされたロールを使用しません。

タグエディタと AWS Identity and Access Management (IAM) の統合方法の詳細については、 *AWS Identity and Access Management ユーザーガイド*の以下のトピックを参照してください。
+ [AWS IAM と連携する サービス](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html#management_svcs)
+ [タグエディタ のアクション、リソース、および条件キー](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awstageditor.html)
+ [ポリシーを使用して AWS リソースへのアクセスを制御する](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_controlling.html)