翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# Amazon EFS でのタグの使用
<a name="using-tags-efs"></a>

タグを使用すると、Amazon EFS リソースへのアクセスをコントロールしたり、属性ベースのアクセスコントロール (ABAC) を実装したりできます。詳細については、以下を参照してください。
+ [EFS リソースのタグ付け](manage-fs-tags.md)
+ [リソースのタグに基づいてアクセスをコントロールする](#resource-tag-control)
+ *IAM ユーザーガイド*[AWSの ABAC とは](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) 

**注記**  
Amazon EFS レプリケーションは、属性ベースのアクセス制御 (ABAC) でのタグの使用をサポートしていません。

作成中に Amazon EFS リソースにタグを適用するには、ユーザーは特定の AWS Identity and Access Management (IAM) 許可を持っている必要があります。

## リソース作成時にタグ付けするアクセス許可の付与
<a name="supported-iam-actions-tagging"></a>

次の作成時のタグ付けの Amazon EFS API アクションを使用すると、リソースの作成時にタグを指定できます。
+ `CreateAccessPoint`
+ `CreateFileSystem`

 ユーザーが作成時にリソースにタグを付けることができるようにするには、`elasticfilesystem:CreateAccessPoint` や `elasticfilesystem:CreateFileSystem` などのリソースを作成するアクションを使用するためのアクセス許可が必要です。リソース作成アクションでタグが指定されている場合、 は`elasticfilesystem:TagResource`アクションに対して追加の認可 AWS を実行して、ユーザーがタグを作成するアクセス許可を持っているかどうかを確認します。そのため、ユーザーには`elasticfilesystem:TagResource` アクションを使用する明示的なアクセス権限が必要です。

`elasticfilesystem:TagResource` アクションの IAM ポリシー定義で、`Condition` 要素と `elasticfilesystem:CreateAction` 条件キーを使用して、リソースを作成するアクションにタグ付けのアクセス許可を付与します。

**Example ポリシー: 作成時にのみファイルシステムにタグを追加できるようにする**  
次のポリシー例では、ユーザーがファイルシステムを作成し、作成時にのみタグを適用するようにします。ユーザーには既存のリソースへのタグ付けが許可されません (`elasticfilesystem:TagResource` アクションを直接呼び出すことはできません)。  

```
{
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
         "elasticfilesystem:CreateFileSystem"
      ],
      "Resource": "arn:aws:elasticfilesystem:region:account-id:file-system/*"
    },
    {
      "Effect": "Allow",
      "Action": [
         "elasticfilesystem:TagResource"
      ],
      "Resource": "arn:aws:elasticfilesystem:region:account-id:file-system/*",
      "Condition": {
         "StringEquals": {
             "elasticfilesystem:CreateAction": "CreateFileSystem"
          }
       }
    }
  ]
}
```

## タグを使用した Amazon EFS リソースへのアクセスのコントロール
<a name="restrict-efs-access-tags"></a>

Amazon EFS とアクションへのアクセスをコントロールするには、タグに基づいて IAM ポリシーを使用できます。コントロールは 2 つの方法で可能です。
+ それらのリソースのタグに基づいて、Amazon EFS へのアクセスをコントロールできます。
+ IAM リクエストの条件でどのタグを渡すかをコントロールできます。

タグを使用して AWS リソースへのアクセスを制御する方法については、*IAM ユーザーガイド*の[「タグを使用したアクセスの制御](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html)」を参照してください。

## リソースのタグに基づいてアクセスをコントロールする
<a name="resource-tag-control"></a>

ユーザーまたはロールが Amazon EFS リソースで実行できるアクションをコントロールするには、リソースでタグを使用できます。例えば、リソースのタグのキーバリューのペアに基づいて、ファイルシステムリソースに対する特定の API オペレーションを許可または拒否することが必要な場合があります。

**Example ポリシー: 特定のタグが使用されている場合にのみファイルシステムを作成する**  

このポリシー例により、ユーザーは、特定のタグとキーと値のペア (この例では、`key=Department`、`value=Finance`) でタグ付けした場合にのみ、ファイルシステムを作成できます。

```
{
    "Effect": "Allow",
    "Action": [
        "elasticfilesystem:CreateFileSystem",
        "elasticfilesystem:TagResource"
    ],
    "Resource": "arn:aws:elasticfilesystem:region:account-id:file-system/*",
    "Condition": {
        "StringEquals": {
            "aws:RequestTag/Department": "Finance"
        }
    }
}
```

**Example ポリシー: 特定のタグを持つファイルシステムを削除する**  

このポリシー例により、ユーザーは `Department=Finance` でタグ付けされたファイルシステムのみを削除できます。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "elasticfilesystem:DeleteFileSystem"
            ],
            "Resource": "arn:aws:elasticfilesystem:us-east-1:111122223333:file-system/*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/Department": "Finance"
                }
            }
        }
    ]
}
```

------