リソースタグを使用して Amazon ECS リソースへのアクセスを制御する

Amazon ECS リソースを使用するための許可をユーザーに付与する IAM ポリシーを作成する場合、ポリシーの Condition 要素にタグ情報を含めることで、タグに基づいてアクセスをコントロールできます。これは属性ベースのアクセス制御 (ABAC) と呼ばれます。ABAC を使用すると、ユーザーが変更、使用、または削除できるリソースをより適切に制御できます。詳細についてはAWS の ABAC とはを参照してください。

例えば、ユーザーによるクラスターの削除を許可するが、クラスターにタグ environment=production がある場合はそのアクションを拒否するポリシーを作成できます。これを行うにはaws:ResourceTag 条件キーを使用し、リソースにアタッチされているタグに基づいてリソースへのアクセスを許可または拒否します。

"StringEquals": { "aws:ResourceTag/environment": "production" }

Amazon ECS API アクションが aws:ResourceTag 条件キーを使用したアクセスの制御をサポートしているかどうかについては、「Amazon ECS のアクション、リソース、および条件キー」を参照してください。Describe アクションはリソースレベルのアクセス権限をサポートしないため、条件のない別のステートメントでそれらのアクセス権限を指定する必要があることに注意してください。

IAM ポリシーの例はAmazon ECS ポリシーの例 を参照してください。

タグに基づいてリソースへのユーザーのアクセスを許可または拒否する場合はユーザーが同じリソースに対してそれらのタグを追加または削除することを明示的に拒否することを検討する必要があります。そうしないと、ユーザーはそのリソースのタグを変更することで、制限を回避してリソースにアクセスできてしまいます。