AWS re:Postを使用することにより、以下に同意したことになります AWS re:Post 利用規約
AWS re:Postre:Post

タグでのリソースへのアクセス制限を付与するIAMポリシーの書き方について

0

特定のタグを指定し、そのタグが付与されたAWSリソースのみアクセスできるようにするAdministrator権限のIAMポリシーの書き方はありませんでしょうか。 ResourceTagを使用してみましたが、うまくできていないのかリソースが見えないままになります。

トピック
セキュリティ、アイデンティティ、コンプライアンス
タグ
セキュリティ、アイデンティティ、コンプライアンスIAM ポリシー
言語
日本語
M_Pmike
質問済み 20日前309ビュー
1回答
1
承認された回答

以下のドキュメントに記載されている表のABAC列でリソースタグでの制御に対応しているか確認が必要だと思います。
https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html

また、Describe系のアクション (リソースを表示したりするもの) はリソースレベルで制限できないので特定のものだけ表示させるみたいなことはできないです。
https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/control-access-with-tags.html

Describe アクションはリソースレベルのアクセス権限をサポートしないため、条件のない別のステートメントでそれらのアクセス権限を指定する必要があることに注意してください。

以下のブログが参考になると思います。
https://dev.classmethod.jp/articles/tsnote-restrict-ec2-iam/
https://dev.classmethod.jp/articles/tsnote-restrict-describe-ec2-iam/

profile picture
エキスパート
Riku_Kobayashi
回答済み 20日前
  • M_Pmike
    20日前

    ご回答ありがとうございます。 内容としては見たことがあったものの、やりたいことはAdministrator権限だったため一旦スルーしていたものでした。 一部リソースに関し、「iam:list*」などエラーが出ないようになんとなくで入力してい見たところiam等一部(S3やLambdaなどはもう少し記述方法を確認する必要がありそう)の一覧を表示し、対象のタグのついたもののみの詳細表示ができる状態にできました。

    ただ、このような設定を多くのサービスの一覧表示系のものを一つずつ記述するしか方法がないのか、調査を進めたいところになります。 サービス認証リファレンスにて内容を見ていますが今一つ理解が進まない状態です。

    しかし、やりたいことに一歩進めました。大変ありがとうございます。

ログインしていません。 ログイン 回答を投稿する。

優れた回答とは、質問に明確に答え、建設的なフィードバックを提供し、質問者の専門分野におけるスキルの向上を促すものです。

質問に答えるためのガイドライン

関連するコンテンツ