# AWS Global Accelerator でのタグベースのポリシーの使用 IAM ポリシーの設計時に特定のリソースへのアクセスを許可することで、詳細なアクセス許可を設定できます。ただし、管理するリソースの数が増えるに従って、このタスクはより困難になります。リソースにタグ付けしてポリシーステートメント条件でタグを使用することにより、このタスクをより容易にすることができます。特定のタグを使用する任意のリソースへのアクセスを一括して付与できます。このタグは、リソースを作成するとき、または後でリソースを更新することで、関連するリソースに繰り返し適用できます。 条件内でタグを使用することは、リソースとリクエストへのアクセスをコントロールするひとつの方法です。タグは、リソースにアタッチするか、タグ付けをサポートするサービスへのリクエストに渡すことができます。Global Accelerator では、アクセラレーターのみがタグを含めることができます。Global Accelerator のタグ付けの詳細については、[AWS Global Accelerator でのタグ付け](tagging-in-global-accelerator.md) を参照してください。 IAM ポリシーを作成するときに、タグ条件キーを使用して以下をコントロールできます。 + 既にあるタグに基づいて、どのユーザーがアクセラレーターに対してアクションを実行できるか。 + アクションのリクエストで渡すことができるタグ。 + リクエストで特定のタグキーを使用できるかどうか。 たとえば、AWS `GlobalAcceleratorFullAccess` マネージドポリシーは、任意のリソースに対して Global Accelerator アクションを実行するための無制限のアクセス許可をユーザーに付与します。次のポリシーは、この権限を制限し、認証されていないユーザーに対して*実稼働環境*アクセラレーターで Global Accelerator アクションを実行するアクセス許可を拒否します。お客様の管理者は、権限のない IAM ユーザーには、マネージドユーザーポリシーに加えて、この IAM ポリシーをアタッチする必要があります。 ``` { "Version":"2012-10-17", "Statement":[ { "Effect":"Deny", "Action":"*", "Resource":"*", "Condition":{ "ForAnyValue:StringEquals":{ "aws:RequestTag/stage":"prod" } } }, { "Effect":"Deny", "Action":"*", "Resource":"*", "Condition":{ "ForAnyValue:StringEquals":{ "aws:ResourceTag/stage":"prod" } } } ] } ``` タグ条件キーの完全な構文とセマンティクスについては、「*IAM ユーザーガイド*」の「[IAM タグを使用したアクセスコントロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_iam-tags.html)」を参照してください。