本ページでは、タグを使用してリソース (RDS インスタンスなど) をグループ別に権限付与し、RAM ユーザーがタグ付きリソースのみを表示および操作できるようにする方法について説明します。

シナリオ

10 個の RDS インスタンスがあります。 dev チームがそれらのうちの 5 つを管理し、ops チームが他の 5 つを管理するようにします。 ただし、各チームには権限付与されたインスタンスのみを表示するようにします (他のチームの権限付与されたリソースは表示しません)。

準備

詳しくは、タグを使用したグループごとの ECS インスタンス権限付与 をご参照ください。

以下は、RDS に関連するカスタマイズポリシーの例です。

{
  "Statement": [
    {
      "Action": "rds:*",
      "Effect": "Allow",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "rds:ResourceTag/team": "dev"
         }
       }
     },
    {
       "Action": "rds:DescribeTag*",
       "Effect": "Allow",
       "Resource": "*"
     }
  ],
  "Version": "1"
}

				
上記のコードでは、
  • "Condition" を持つ "Action": "rds:*" 要素は、"team": "dev" としてタグ付けされたインスタンスをフィルタリングするために使用します。 "Condition" のキーワードは rds:ResourceTag です。
  • "Action": "rds:DescribeTag*" 要素は、すべてのタグを表示するために使用します。 ユーザーが RDS コンソールで操作を実行すると、システムはユーザーが選択するすべてのタグを表示し、ユーザーが選択したタグキーと値に従ってインスタンスをフィルタリングします。

次のステップ

RDS インスタンスをグループにタグ付けして権限を付与した後で RAM ユーザーの関連する権限が見つからない場合は、 RDS インスタンスをグループにタグ付けして権限を付与した後に、1 人または複数の RAM ユーザーの関連する権限がなくなった場合はどうすればいいですか。をご参照ください。