翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# タグエディタ を開始します。
<a name="gettingstarted"></a>

**重要**  
個人を特定できる情報 (PII) などの機密情報や秘匿性の高い情報はタグに格納しないでください。タグを使用して、課金および管理サービスを提供します。タグは、プライベートデータまたは機密データに使用することを目的としたものではありません。

複数のリソースにタグを一度に追加する、あるいは複数のリソースのタグを一度に編集または削除するには、タグエディタを使用します。タグエディタを使用してタグ付けするリソースを検索し、検索結果からそのリソースのタグを管理します。

**タグエディタを起動するには**

1. [AWS マネジメントコンソール](https://console.aws.amazon.com/console/home) にサインインします。

1. 次のいずれかのステップを実行します。
   + **サービス** を選択してください。**管理とガバナンス**で、**リソースグループとタグエディタ** を選択します。左側のナビゲーションペインで、**タグエディタ**を選択します。
   + 直接リンク: [AWS タグエディタ コンソール](https://console.aws.amazon.com/resource-groups/tag-editor/find-resources)を使用してください。

すべてのリソースが適用されるタグを持つことができるわけではありません。タグエディタがサポートするリソースについては、*AWS Resource Groups ユーザーガイド*の「[サポートされているリソースタイプ](https://docs.aws.amazon.com//ARG/latest/userguide/supported-resources.html)」にある「**タグエディタのタグ付け**」列を参照してください。タグを付けるリソースタイプがサポートされていない場合は、コンソールウィンドウの左下隅にある**フィードバック**を選択して AWS に知らせます。

リソースのタグ付けに必要なアクセス許可やロールの詳細については、「[アクセス許可の設定](gettingstarted-prereqs-permissions.md)」を参照してください。

**Topics**
+ [タグエディタ を使用するための前提条件](gettingstarted-prereqs.md)
+ [アクセス許可の設定](gettingstarted-prereqs-permissions.md)

# タグエディタ を使用するための前提条件
<a name="gettingstarted-prereqs"></a>

リソースへのタグ付け作業を開始する前に、既存のリソースを含むアクティブな AWS アカウント と、リソースをタグ付けし、グループを作成する適切な権限があることを確認します。

**Topics**
+ [にサインアップする AWS アカウント](#sign-up-for-aws)
+ [管理アクセスを持つユーザーを作成する](#create-an-admin)
+ [リソースの作成](#gettingstarted-prereqs-create)

## にサインアップする AWS アカウント
<a name="sign-up-for-aws"></a>

がない場合は AWS アカウント、次の手順を実行して作成します。

**にサインアップするには AWS アカウント**

1. [https://portal.aws.amazon.com/billing/signup](https://portal.aws.amazon.com/billing/signup) を開きます。

1. オンラインの手順に従います。

   サインアップ手順の一環として、電話またはテキストメッセージを受け取り、電話キーパッドで検証コードを入力します。

   にサインアップすると AWS アカウント、 *AWS アカウントのルートユーザー* が作成されます。ルートユーザーには、アカウントのすべての AWS のサービス とリソースへのアクセス権があります。セキュリティベストプラクティスとして、ユーザーに管理アクセス権を割り当て、[ルートユーザーアクセスが必要なタスク](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks)の実行にはルートユーザーのみを使用するようにしてください。

AWS サインアッププロセスが完了すると、 から確認メールが送信されます。[https://aws.amazon.com/](https://aws.amazon.com/) の **[マイアカウント]** をクリックして、いつでもアカウントの現在のアクティビティを表示し、アカウントを管理することができます。

## 管理アクセスを持つユーザーを作成する
<a name="create-an-admin"></a>

にサインアップしたら AWS アカウント、日常的なタスクにルートユーザーを使用しないように AWS アカウントのルートユーザー、 を保護し AWS IAM アイデンティティセンター、 を有効にして管理ユーザーを作成します。

**を保護する AWS アカウントのルートユーザー**

1.  **ルートユーザー**を選択し、 AWS アカウント E メールアドレスを入力して、アカウント所有者[AWS マネジメントコンソール](https://console.aws.amazon.com/)として にサインインします。次のページでパスワードを入力します。

   ルートユーザーを使用してサインインする方法については、「*AWS サインイン ユーザーガイド*」の「[ルートユーザーとしてサインインする](https://docs.aws.amazon.com/signin/latest/userguide/console-sign-in-tutorials.html#introduction-to-root-user-sign-in-tutorial)」を参照してください。

1. ルートユーザーの多要素認証 (MFA) を有効にします。

   手順については、*IAM* [ユーザーガイドの AWS アカウント 「ルートユーザー (コンソール) の仮想 MFA デバイス](https://docs.aws.amazon.com/IAM/latest/UserGuide/enable-virt-mfa-for-root.html)を有効にする」を参照してください。

**管理アクセスを持つユーザーを作成する**

1. IAM アイデンティティセンターを有効にします。

   手順については、「*AWS IAM アイデンティティセンター ユーザーガイド*」の「[AWS IAM アイデンティティセンターの有効化](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-set-up-for-idc.html)」を参照してください。

1. IAM アイデンティティセンターで、ユーザーに管理アクセスを付与します。

   を ID ソース IAM アイデンティティセンターディレクトリ として使用する方法のチュートリアルについては、「 *AWS IAM アイデンティティセンター ユーザーガイド*」の[「デフォルトを使用してユーザーアクセスを設定する IAM アイデンティティセンターディレクトリ](https://docs.aws.amazon.com//singlesignon/latest/userguide/quick-start-default-idc.html)」を参照してください。

**管理アクセス権を持つユーザーとしてサインインする**
+ IAM アイデンティティセンターのユーザーとしてサインインするには、IAM アイデンティティセンターのユーザーの作成時に E メールアドレスに送信されたサインイン URL を使用します。

  IAM Identity Center ユーザーを使用してサインインする方法については、*AWS サインイン 「 ユーザーガイド*[」の AWS 「 アクセスポータルにサインイン](https://docs.aws.amazon.com/signin/latest/userguide/iam-id-center-sign-in-tutorial.html)する」を参照してください。

**追加のユーザーにアクセス権を割り当てる**

1. IAM アイデンティティセンターで、最小特権のアクセス許可を適用するというベストプラクティスに従ったアクセス許可セットを作成します。

   手順については、「*AWS IAM アイデンティティセンター ユーザーガイド*」の「[アクセス許可セットを作成する](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-started-create-a-permission-set.html)」を参照してください。

1. グループにユーザーを割り当て、そのグループにシングルサインオンアクセス権を割り当てます。

   手順については、「*AWS IAM アイデンティティセンター ユーザーガイド*」の「[グループを追加する](https://docs.aws.amazon.com//singlesignon/latest/userguide/addgroups.html)」を参照してください。

## リソースの作成
<a name="gettingstarted-prereqs-create"></a>

タグ AWS アカウント を付けるには、 にリソースが必要です。サポートされているリソースタイプの詳細については、「AWS Resource Groups ユーザーガイド」の「[サポートされているリソースタイプ](https://docs.aws.amazon.com//ARG/latest/userguide/supported-resources.html)」にある 「**タグエディタ のタグ付け**」列を参照してください。

# アクセス許可の設定
<a name="gettingstarted-prereqs-permissions"></a>

タグエディタ を最大限に活用するには、リソースをタグ付けする、またはリソースのタグキーとタグ値を表示するための追加アクセス許可が必要になる場合があります。これらのアクセス許可は次のように分類されます。
+ 個々のサービスに対するアクセス許可。これらのサービスからのリソースをタグ付けし、リソースグループに含めることができます。
+ タグエディタ コンソールを使用するために必要なアクセス許可。

管理者の場合は、 AWS Identity and Access Management (IAM) サービスを使用してポリシーを作成することで、ユーザーにアクセス許可を付与できます。まず IAM ロール、ユーザーまたはグループを作成し、必要なアクセス許可のあるポリシーを適用します。IAM ポリシーの作成とアタッチについては、「[ポリシーの使用](https://docs.aws.amazon.com//IAM/latest/UserGuide/ManagingPolicies.html)」を参照してください。

## 個々のサービスに対するアクセス許可
<a name="rg-perms-individual-services"></a>

**重要**  
このセクションでは、**他の AWS サービスコンソールや APIs から**リソースにタグを付ける場合に必要なアクセス許可について説明します。

リソースにタグを追加するには、リソースが属するサービスに必要なアクセス許可が必要です。例えば、Amazon EC2 インスタンスにタグ付けするには、 [Amazon EC2CreateTags](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CreateTags.html) オペレーションなどの、そのサービスの API でのタグ付けオペレーションに対するアクセス許可が必要です。

## タグエディタコンソールを使用するために必要なアクセス許可
<a name="gettingstarted-prereqs-permissions-te"></a>

タグエディタコンソールを使用してリソースを一覧表示およびタグ付けするには、ユーザーの IAM ポリシーステートメントに以下のアクセス許可を追加する必要があります。によって維持および最新の管理 AWS ポリシーを追加するか AWS、独自のカスタムポリシーを作成して維持できます。

### タグエディタのアクセス許可に AWS マネージドポリシーを使用する
<a name="prereqs-permissions-managedpolicies"></a>

タグエディタは、ユーザーに事前定義された一連のアクセス許可を提供するために使用できる以下の AWS 管理ポリシーをサポートしています。これらのマネージドポリシーは、作成した他のポリシーと同様に、任意のロール、ユーザー、グループにアタッチできます。

**[https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/ResourceGroupsandTagEditorReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/ResourceGroupsandTagEditorReadOnlyAccess)**  
このポリシーは、アタッチされた IAM ロールまたはユーザーに、 AWS Resource Groups とタグエディタの両方の読み取り専用オペレーションを呼び出すアクセス許可を付与します。リソースのタグを読み取るには、別のポリシーを使用して、そのリソースに対するアクセス許可も必要です。以下の「**重要**」の注記で詳細を確認してください。

**[https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/ResourceGroupsandTagEditorFullAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/ResourceGroupsandTagEditorFullAccess)**  
このポリシーは、Resource Groups のオペレーションとタグエディタ の読み取り・書き込みオペレーションを呼び出すアクセス許可を、アタッチされた IAM ロールまたはユーザーに付与します。リソースタグに対する読み取りまたは書き込みを行うには、別のポリシーを使用して、そのリソースに対するアクセス許可も必要です。以下の「**重要**」の注記で詳細を確認してください。

**重要**  
上記の 2 つのポリシーは、タグエディタ のオペレーションを呼び出し、タグエディタ コンソールを使用するアクセス許可を付与します。しかしながら、オペレーションを呼び出すアクセス許可だけでなく、アクセスしようとしているタグがある特定のリソースに対する適切なアクセス許可も必要です。タグへのアクセス許可を付与するには、次のいずれかのポリシーをアタッチする必要があります。  
 AWS マネージドポリシーは、すべてのサービスのリソースの読み取り専用オペレーションにアクセス許可[https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/ReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/ReadOnlyAccess)を付与します。 は、このポリシーが使用可能になると AWS 、自動的に新しい でこのポリシーを最新の状態に保ち AWS のサービス ます。
多くの サービスは、サービス固有の読み取り専用 AWS 管理ポリシーを提供しており、このポリシーを使用して、そのサービスによって提供されるリソースのみにアクセスを制限できます。たとえば、Amazon EC2 は [https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AmazonEC2ReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AmazonEC2ReadOnlyAccess) を提供しています。
ユーザーがアクセスできるようにするいくつかのサービスとリソースに対して、限定される読み取り専用オペレーションにのみアクセス許可を付与する独自のポリシーを作成することができます。このポリシーでは、許可リスト戦略または拒否リスト戦略のいずれかを使用します。  
許可リスト戦略では、ポリシーで***明示的に許可する***まで、アクセスはデフォルトで拒否されるという事実を利用します。そのため、次の例のようなポリシーを使用できます。  

****  

  ```
  {
      "Version":"2012-10-17",		 	 	 
      "Statement": [
          {
              "Effect": "Allow",
              "Action": [ "tag:*" ],
              "Resource": [
                  "arn:aws:ec2:us-east-1:444455556666:*",
                  "arn:aws:s3:::amzn-s3-demo-bucket2"
                  ]
          }
      ]
  }
  ```
または、明示的にブロックするリソース以外のすべてのリソースへのアクセスを許可する拒否リスト戦略を使用することもできます。これには、アクセスを許可する関連ユーザーに適用される別のポリシーが必要です。次のポリシー例では、Amazon リソースネーム (ARN) によって一覧表示される特定のリソースへのアクセスを拒否します。  

****  

  ```
  {
      "Version":"2012-10-17",		 	 	 
      "Statement": [
          {
              "Effect": "Deny",
              "Action": [ "tag:*" ],
              "Resource": [
                  "arn:aws:ec2:us-east-1:123456789012:instance:*",
                  "arn:aws:s3:::amzn-s3-demo-bucket3"
               ]
          }
      ]
  }
  ```

### タグエディタ のアクセス許可を手動で追加する
<a name="prereqs-permissions-manualadd"></a>
+ `tag:*` (このアクセス許可は、すべての タグエディタ でのアクションを許可します。代わりに、ユーザーが使用できるアクションを制限する場合は、アスタリスクを[特定のアクション](https://docs.aws.amazon.com//IAM/latest/UserGuide/list_awsresourcegroups.html)、またはカンマで区切ったアクションのリストに置き換えることができます)
+ `tag:GetResources`
+ `tag:TagResources`
+ `tag:UntagResources`
+ `tag:getTagKeys`
+ `tag:getTagValues`
+ `resource-explorer:*`
+ `resource-groups:SearchResources`
+ `resource-groups:ListResourceTypes`

**注記**  
`resource-groups:SearchResources` アクセス許可により、タグキーまたは値で検索をフィルタリングするときに、タグエディタでリソースを一覧表示できます。  
`resource-explorer:ListResources` アクセス許可により、検索タグを定義せずにリソースを検索するときに、タグエディタでリソースを一覧表示できます。

## タグエディタ を使用するためのアクセス許可を付与する
<a name="gettingstarted-prereqs-permissions-howto"></a>

 AWS Resource Groups およびタグエディタを使用するポリシーをロールに追加するには、次の手順を実行します。

1. [IAM コンソールの「**ロール**」ページ](https://console.aws.amazon.com/iamv2/home#/roles)を開きます。

1. タグエディタ のアクセス許可を付与するロールを見つけます。ロール名を選択して、ロールの 「**概要**」ページを開きます。

1. **権限**タブで、**権限を追加する**を選択します。

1. **既存のポリシーを直接添付する**を選択します。

1. **[ポリシーの作成]** を選択します。

1. **JSON** タブに、以下のポリシーステートメントを貼り付けます。

------
#### [ JSON ]

****  

   ```
   {
     "Version":"2012-10-17",		 	 	 
     "Statement": [
       {
         "Effect": "Allow",
         "Action": [
           "tag:GetResources",
           "tag:TagResources",
           "tag:UntagResources",
           "tag:getTagKeys",
           "tag:getTagValues",
           "resource-explorer:*",
           "resource-groups:SearchResources",
           "resource-groups:ListResourceTypes"
         ],
         "Resource": "*"
       }
     ]
   }
   ```

------
**注記**  
このポリシーステートメントの例は、 タグエディタ のアクションに対してのみを実行するアクセス許可を付与します。

1. **次へ: タグ****次へ: 確認**の順に選択します。

1. 新しいポリシーの名前と説明を入力します。例えば、**AWSTaggingAccess**。

1. **[ポリシーの作成]** を選択します。

ポリシーが IAM に保存され、ロール、グループ、ユーザーなど他のプリンシパルにアタッチできるようになりました。プリンシパルにポリシーをアタッチする方法の詳細については、「IAM ユーザーガイド」の 「[IAM アイデンティティの許可の追加および削除](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html)」を参照してください。

## タグに基づく認可とアクセス制御
<a name="rg-perms-iam"></a>

AWS のサービス は以下をサポートしています。
+ **アクションに戻づくポリシー** – 例えば、ユーザーに、 `GetTagKeys` もしくは `GetTagValues` のオペレーションの実行を許可し、それ以外のオペレーションを許可しないポリシーを作成できます。
+ **ポリシーにおけるリソースレベルでのアクセス許可** – 多くのサービスでは [ARN](https://docs.aws.amazon.com//general/latest/gr/aws-arns-and-namespaces.html) を使用してポリシーで個々のリソースを指定できます。
+ **タグに基づいた認可** – 多くのサービスでは、ポリシーの条件にリソースタグを使用できます。たとえば、 ユーザーに、同じタグを持つグループへのフルアクセスを許可するポリシーを作成できます。詳細については、「 *AWS Identity and Access Management ユーザーガイド*」の[「ABAC とは AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)」を参照してください。
+ **一時的な認証情報** – ユーザーは、タグエディタ のオペレーションを許可するポリシーが関連付けられたロールを引き受けることができます。

タグエディタ はサービスにリンクされたロールを使用しません。

タグエディタと AWS Identity and Access Management (IAM) の統合方法の詳細については、 *AWS Identity and Access Management ユーザーガイド*の以下のトピックを参照してください。
+ [AWS IAM と連携する サービス](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html#management_svcs)
+ [タグエディタ のアクション、リソース、および条件キー](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awstageditor.html)
+ [ポリシーを使用して AWS リソースへのアクセスを制御する](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_controlling.html)