# Performance Insights でのタグベースのアクセスコントロールの使用
<a name="USER_PerfInsights.access-control.tag-based-policy"></a>

親 DB インスタンスから継承されたタグを使用して、Performance Insights メトリクスへのアクセスを制御できます。Performance Insights オペレーションへのアクセスを制御するには、IAM ポリシーを使用します。これらのポリシーは、DB インスタンスのタグをチェックしてアクセス許可を決定できます。

## Performance Insights でのタグの仕組み
<a name="USER_PerfInsights.access-control.tag-inheritance"></a>

Performance Insights は、DB インスタンスタグを自動的に適用して Performance Insights メトリクスを承認します。DB インスタンスにタグを追加すると、すぐにそれらのタグを使用して Performance Insights データへのアクセスを制御できます。
+ Performance Insights メトリクスのタグを追加または更新するには、DB インスタンスのタグを変更します。
+ Performance Insights メトリクスのタグを表示するには、Performance Insights メトリクスリソースで `ListTagsForResource` を呼び出します。メトリクスに関連付けられた DB インスタンスからタグを返します。

**注記**  
Performance Insights メトリクスで直接使用しようとすると、`TagResource` および `UntagResource` オペレーションはエラーを返します。

## タグベースの IAM ポリシーの作成
<a name="USER_PerfInsights.access-control.tag-based-policies"></a>

Performance Insights オペレーションへのアクセスを制御するには、IAM ポリシーで `aws:ResourceTag` 条件キーを使用します。これらのポリシーは、yourDB インスタンスのタグをチェックします。

**Example**  
このポリシーは、本番データベースの Performance Insights メトリクスへのアクセスを防止します。このポリシーは、`env:prod` でタグ付けされたデータベースリソースの Performance Insights での `pi:GetResourceMetrics` オペレーションを拒否します。  

```
 {
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Deny",
            "Action": "pi:GetResourceMetrics",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/env": "prod"
                }
            }
        }
    ]
}
```