# リソースタグを使用して Amazon ECS リソースへのアクセスを制御する Amazon ECS リソースを使用するための許可をユーザーに付与する IAM ポリシーを作成する場合、ポリシーの `Condition` 要素にタグ情報を含めることで、タグに基づいてアクセスをコントロールできます。これは属性ベースのアクセス制御 (ABAC) と呼ばれます。ABAC を使用すると、ユーザーが変更、使用、または削除できるリソースをより適切に制御できます。詳細については[AWS の ABAC とは](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)を参照してください。 例えば、ユーザーによるクラスターの削除を許可するが、クラスターにタグ `environment=production` がある場合はそのアクションを拒否するポリシーを作成できます。これを行うには`aws:ResourceTag` 条件キーを使用し、リソースにアタッチされているタグに基づいてリソースへのアクセスを許可または拒否します。 ``` "StringEquals": { "aws:ResourceTag/environment": "production" } ``` Amazon ECS API アクションが `aws:ResourceTag` 条件キーを使用したアクセスの制御をサポートしているかどうかについては、「[Amazon ECS のアクション、リソース、および条件キー](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonelasticcontainerservice.html)」を参照してください。`Describe` アクションはリソースレベルのアクセス権限をサポートしないため、条件のない別のステートメントでそれらのアクセス権限を指定する必要があることに注意してください。 IAM ポリシーの例は [Amazon ECS ポリシーの例](iam-policies-ecs-console.md) を参照してください。 タグに基づいてリソースへのユーザーのアクセスを許可または拒否する場合はユーザーが同じリソースに対してそれらのタグを追加または削除することを明示的に拒否することを検討する必要があります。そうしないと、ユーザーはそのリソースのタグを変更することで、制限を回避してリソースにアクセスできてしまいます。