翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
リソース: ジョブ定義とジョブキューのリソースタグによってジョブ送信を制限する
ジョブキューに タグがあり、ジョブ定義Environment=devに タグがある場合にのみ、次のポリシーを使用してジョブを送信しますProject=calc。このポリシーは、リソースタグを使用して、ジョブの送信中に AWS Batch リソースへのアクセスを制御する方法を示しています。
重要
ジョブ定義リソースタグを評価するポリシーを使用してジョブを送信する場合は、ジョブ定義リビジョン形式 () を使用してジョブを送信する必要がありますjob-definition:revision。リビジョンを指定せずにジョブを送信した場合、ジョブ定義タグは評価されず、意図したアクセスコントロールがバイパスされる可能性があります。リソース ARN の*:*パターンでは、送信にリビジョンを含める必要があるため、タグポリシーを常に効果的に適用できます。
このポリシーは、異なるリソースタイプに異なるタグ条件を適用するため、2 つの異なるステートメントを使用します。ジョブ送信へのリソースレベルアクセスに絞り込む場合、ジョブキューおよびジョブ定義の両方のリソースタイプを指定する必要があります。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "batch:SubmitJob", "Resource": "arn:aws:batch:*:*:job-queue/*", "Condition": { "StringEquals": { "aws:ResourceTag/Environment": "dev" } } }, { "Effect": "Allow", "Action": "batch:SubmitJob", "Resource": "arn:aws:batch:*:*:job-definition/*:*", "Condition": { "StringEquals": { "aws:ResourceTag/Project": "calc" } } } ] }
