リソースには正しいタグキーと値がタグ付けされていますが、AWS Identity and Access Management (IAM) ポリシーでリソースのタグが評価されません。
IAM ポリシーでは、グローバル条件キー aws:ResourceTag/tag-key を使用することで、リソースのタグキーと値に基づいてアクセスを制御できます。すべての AWS サービスがタグ認証をサポートしているわけではありません。AWS Lambda 関数や Amazon Simple Queue Service (Amazon SQS) キューなど、一部の AWS リソースにはタグを付けることができます。ただし、これらのタグを IAM ポリシーで使用してリソースへのアクセスを制御することはできません。タグベースの認証をサポートする AWS サービスのリストについては、「IAM と連携する AWS サービス」を参照してください。
AWS サービスがタグベースの認証をサポートしていない場合は、サービスのアクション、リソース、条件キーをチェックして、IAM ポリシーでサポートされているリソースレベルのアクセス許可と条件キーを確認してください。Amazon SQS でのアクセス管理の概要や AWS Lambda のアイデンティティベースの IAM ポリシーなど、一部の AWS サービスには、IAM ポリシーの例を含むドキュメントがあります。
DeleteFunction や PublishVersion などの一部の Lambda アクションは、リソースレベルのアクセス権限を使用して特定の Lambda 関数に制限できます。この IAM ポリシー例を IAM ユーザーにアタッチすると、これらの Lambda アクションが許可されますが、対象は特定の 1 つの Lambda 関数に限定されます。
**注:**IAM ポリシーを編集して、独自の Lambda 関数 ARN を含めます。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowActionsOnSpecificFunction", "Effect": "Allow", "Action": [ "lambda:DeleteFunction", "lambda:PublishVersion" ], "Resource": "arn:aws:lambda:us-west-2:123456789012:function:my-function" } ] }
IAM ID ベースのポリシーを使用して特定の IAM ロールセッションへのアクセスを制限する方法を教えてください
PrincipalTag、ResourceTag、RequestTag、TagKeys の条件キーを使用して、タグベース制限の IAM ポリシーを作成する方法を教えてください