タグでのリソースへのアクセス制限を付与するIAMポリシーの書き方について

0

特定のタグを指定し、そのタグが付与されたAWSリソースのみアクセスできるようにするAdministrator権限のIAMポリシーの書き方はありませんでしょうか。 ResourceTagを使用してみましたが、うまくできていないのかリソースが見えないままになります。

M_Pmike
질문됨 5달 전350회 조회
1개 답변
1
수락된 답변

以下のドキュメントに記載されている表のABAC列でリソースタグでの制御に対応しているか確認が必要だと思います。
https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html

また、Describe系のアクション (リソースを表示したりするもの) はリソースレベルで制限できないので特定のものだけ表示させるみたいなことはできないです。
https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/control-access-with-tags.html

Describe アクションはリソースレベルのアクセス権限をサポートしないため、条件のない別のステートメントでそれらのアクセス権限を指定する必要があることに注意してください。

以下のブログが参考になると思います。
https://dev.classmethod.jp/articles/tsnote-restrict-ec2-iam/
https://dev.classmethod.jp/articles/tsnote-restrict-describe-ec2-iam/

profile picture
전문가
답변함 5달 전
  • ご回答ありがとうございます。 内容としては見たことがあったものの、やりたいことはAdministrator権限だったため一旦スルーしていたものでした。 一部リソースに関し、「iam:list*」などエラーが出ないようになんとなくで入力してい見たところiam等一部(S3やLambdaなどはもう少し記述方法を確認する必要がありそう)の一覧を表示し、対象のタグのついたもののみの詳細表示ができる状態にできました。

    ただ、このような設定を多くのサービスの一覧表示系のものを一つずつ記述するしか方法がないのか、調査を進めたいところになります。 サービス認証リファレンスにて内容を見ていますが今一つ理解が進まない状態です。

    しかし、やりたいことに一歩進めました。大変ありがとうございます。

로그인하지 않았습니다. 로그인해야 답변을 게시할 수 있습니다.

좋은 답변은 질문에 명확하게 답하고 건설적인 피드백을 제공하며 질문자의 전문적인 성장을 장려합니다.

질문 답변하기에 대한 가이드라인

관련 콘텐츠