タグでのリソースへのアクセス制限を付与するIAMポリシーの書き方について

0

特定のタグを指定し、そのタグが付与されたAWSリソースのみアクセスできるようにするAdministrator権限のIAMポリシーの書き方はありませんでしょうか。 ResourceTagを使用してみましたが、うまくできていないのかリソースが見えないままになります。

M_Pmike
gefragt vor 5 Monaten350 Aufrufe
1 Antwort
1
Akzeptierte Antwort

以下のドキュメントに記載されている表のABAC列でリソースタグでの制御に対応しているか確認が必要だと思います。
https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html

また、Describe系のアクション (リソースを表示したりするもの) はリソースレベルで制限できないので特定のものだけ表示させるみたいなことはできないです。
https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/control-access-with-tags.html

Describe アクションはリソースレベルのアクセス権限をサポートしないため、条件のない別のステートメントでそれらのアクセス権限を指定する必要があることに注意してください。

以下のブログが参考になると思います。
https://dev.classmethod.jp/articles/tsnote-restrict-ec2-iam/
https://dev.classmethod.jp/articles/tsnote-restrict-describe-ec2-iam/

profile picture
EXPERTE
beantwortet vor 5 Monaten
  • ご回答ありがとうございます。 内容としては見たことがあったものの、やりたいことはAdministrator権限だったため一旦スルーしていたものでした。 一部リソースに関し、「iam:list*」などエラーが出ないようになんとなくで入力してい見たところiam等一部(S3やLambdaなどはもう少し記述方法を確認する必要がありそう)の一覧を表示し、対象のタグのついたもののみの詳細表示ができる状態にできました。

    ただ、このような設定を多くのサービスの一覧表示系のものを一つずつ記述するしか方法がないのか、調査を進めたいところになります。 サービス認証リファレンスにて内容を見ていますが今一つ理解が進まない状態です。

    しかし、やりたいことに一歩進めました。大変ありがとうございます。

Du bist nicht angemeldet. Anmelden um eine Antwort zu veröffentlichen.

Eine gute Antwort beantwortet die Frage klar, gibt konstruktives Feedback und fördert die berufliche Weiterentwicklung des Fragenstellers.

Richtlinien für die Beantwortung von Fragen