翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# タグを使用してゲートウェイとリソースへのアクセスをコントロールする
<a name="restrict-fgw-access"></a>

ゲートウェイリソースとアクションへのアクセスを制御するには、タグに基づいて AWS Identity and Access Management (IAM) ポリシーを使用できます。コントロールは 2 つの方法で提供できます。

1. それらのリソースのタグに基づいて、ゲートウェイリソースへのアクセスをコントロールします。

1. IAM リクエストの条件でどのタグを渡せるかをコントロールする。

タグを使用してアクセスをコントロールする方法については、「[タグを使用したアクセスのコントロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html)」を参照してください。

## リソースのタグに基づいてアクセスをコントロールする
<a name="resorce-tag-control"></a>

ユーザーまたはロールがゲートウェイリソースで実行できるアクションをコントロールするには、ゲートウェイリソースでタグを使用できます。たとえば、リソースのタグのキーと値のペアに基づいて、ファイルゲートウェイリソースに対する特定の API オペレーションを許可または拒否することが必要な場合があります。

以下の例では、ユーザーまたはロールに、すべてのリソースに対する `ListTagsForResource`、`ListFileShares`、および `DescribeNFSFileShares` アクションの実行を許可しています。このポリシーは、リソースのタグのキーが `allowListAndDescribe` に設定され、値が `yes` に設定されている場合にのみ適用されます。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "storagegateway:ListTagsForResource",
                "storagegateway:ListFileShares",
                "storagegateway:DescribeNFSFileShares"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/allowListAndDescribe": "yes"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "storagegateway:*"
            ],
            "Resource": "arn:aws:storagegateway:us-east-1:111122223333:*/*"
        }
    ]
}
```

------

## IAM リクエスト内のタグに基づいてアクセスをコントロールする
<a name="request-based-control"></a>

IAM ユーザーがゲートウェイリソースできることをコントロールするには、タグに基づく IAM ポリシーの条件を使用できます。たとえば、リソースの作成時に指定されたタグに基づいて特定の API オペレーションを実行する機能を許可または拒否するポリシーを作成できます。

以下の例の最初のステートメントでは、ゲートウェイの作成時に指定されたタグのキーと値のペアが **Department** と **Finance** の場合にのみ、ゲートウェイの作成をユーザーに許可しています。API オペレーションを使用するときに、このタグをアクティベーションリクエストに追加します。

2 番目のステートメントでは、ゲートウェイのタグのキーと値のペアが **Department** および **Finance** に一致する場合にのみ、ゲートウェイでネットワークファイルシステム (NFS) またはサーバーメッセージブロック (SMB) のファイル共有を作成することをユーザーに許可しています。さらに、ユーザーはファイル共有にタグを追加すること、そのタグのキーと値のペアが **Department** および **Finance** であることが必要です。ファイル共有を作成するときに、そのタグをファイル共有に追加します。`AddTagsToResource` または `RemoveTagsFromResource` オペレーションに対するアクセス許可がないため、ユーザーはゲートウェイまたはファイル共有でこれらのオペレーションを実行できません。

------
#### [ JSON ]

****  

```
{
   "Version":"2012-10-17",		 	 	 
   "Statement":[
      {
         "Effect":"Allow",
         "Action":[
            "storagegateway:ActivateGateway"
         ],
         "Resource":"*",
         "Condition":{
            "StringEquals":{
               "aws:RequestTag/Department":"Finance"
            }
         }
      },
      {
         "Effect":"Allow",
         "Action":[
            "storagegateway:CreateNFSFileShare",
            "storagegateway:CreateSMBFileShare"
         ],
         "Resource":"*",
         "Condition":{
            "StringEquals":{
               "aws:ResourceTag/Department":"Finance",
               "aws:RequestTag/Department":"Finance"
            }
         }
      }
   ]
}
```

------