タグでのリソースへのアクセス制限を付与するIAMポリシーの書き方について

0

特定のタグを指定し、そのタグが付与されたAWSリソースのみアクセスできるようにするAdministrator権限のIAMポリシーの書き方はありませんでしょうか。 ResourceTagを使用してみましたが、うまくできていないのかリソースが見えないままになります。

M_Pmike
已提问 5 个月前350 查看次数
1 回答
1
已接受的回答

以下のドキュメントに記載されている表のABAC列でリソースタグでの制御に対応しているか確認が必要だと思います。
https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html

また、Describe系のアクション (リソースを表示したりするもの) はリソースレベルで制限できないので特定のものだけ表示させるみたいなことはできないです。
https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/control-access-with-tags.html

Describe アクションはリソースレベルのアクセス権限をサポートしないため、条件のない別のステートメントでそれらのアクセス権限を指定する必要があることに注意してください。

以下のブログが参考になると思います。
https://dev.classmethod.jp/articles/tsnote-restrict-ec2-iam/
https://dev.classmethod.jp/articles/tsnote-restrict-describe-ec2-iam/

profile picture
专家
已回答 5 个月前
  • ご回答ありがとうございます。 内容としては見たことがあったものの、やりたいことはAdministrator権限だったため一旦スルーしていたものでした。 一部リソースに関し、「iam:list*」などエラーが出ないようになんとなくで入力してい見たところiam等一部(S3やLambdaなどはもう少し記述方法を確認する必要がありそう)の一覧を表示し、対象のタグのついたもののみの詳細表示ができる状態にできました。

    ただ、このような設定を多くのサービスの一覧表示系のものを一つずつ記述するしか方法がないのか、調査を進めたいところになります。 サービス認証リファレンスにて内容を見ていますが今一つ理解が進まない状態です。

    しかし、やりたいことに一歩進めました。大変ありがとうございます。

您未登录。 登录 发布回答。

一个好的回答可以清楚地解答问题和提供建设性反馈,并能促进提问者的职业发展。

回答问题的准则

相关内容