AWS re:Postを使用することにより、以下に同意したことになります AWS re:Post 利用規約

AWS リソースにタグを追加しましたが、IAM ポリシーが機能しません。どの AWS サービスが、認証ベースのタグをサポートするかを教えてください。

所要時間1分
0

リソースには正しいタグキーと値がタグ付けされていますが、AWS Identity and Access Management (IAM) ポリシーでリソースのタグが評価されません。

簡単な説明

IAM ポリシーでは、グローバル条件キー aws:ResourceTag/tag-key を使用することで、リソースのタグキーと値に基づいてアクセスを制御できます。すべての AWS サービスがタグ認証をサポートしているわけではありません。AWS Lambda 関数や Amazon Simple Queue Service (Amazon SQS) キューなど、一部の AWS リソースにはタグを付けることができます。ただし、これらのタグを IAM ポリシーで使用してリソースへのアクセスを制御することはできません。タグベースの認証をサポートする AWS サービスのリストについては、「IAM と連携する AWS サービス」を参照してください。

解決策

AWS サービスがタグベースの認証をサポートしていない場合は、サービスのアクション、リソース、条件キーをチェックして、IAM ポリシーでサポートされているリソースレベルのアクセス許可と条件キーを確認してください。Amazon SQS でのアクセス管理の概要や AWS Lambda のアイデンティティベースの IAM ポリシーなど、一部の AWS サービスには、IAM ポリシーの例を含むドキュメントがあります。

DeleteFunction や PublishVersion などの一部の Lambda アクションは、リソースレベルのアクセス権限を使用して特定の Lambda 関数に制限できます。この IAM ポリシー例を IAM ユーザーにアタッチすると、これらの Lambda アクションが許可されますが、対象は特定の 1 つの Lambda 関数に限定されます。

**注:**IAM ポリシーを編集して、独自の Lambda 関数 ARN を含めます。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowActionsOnSpecificFunction",
      "Effect": "Allow",
      "Action": [
        "lambda:DeleteFunction",
        "lambda:PublishVersion"
      ],
      "Resource": "arn:aws:lambda:us-west-2:123456789012:function:my-function"
    }
  ]
}

関連情報

IAM ID ベースのポリシーを使用して特定の IAM ロールセッションへのアクセスを制限する方法を教えてください

PrincipalTag、ResourceTag、RequestTag、TagKeys の条件キーを使用して、タグベース制限の IAM ポリシーを作成する方法を教えてください

AWS公式
AWS公式更新しました 1ヶ月前
コメントはありません

関連するコンテンツ