翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# IAM Identity Center を使用して ABAC の権限セットを作成する
<a name="configure-abac-policies"></a>

設定した属性値に基づいて AWS リソースにアクセスできるユーザーを決定するアクセス権限ポリシーを作成できます。ABAC を有効にして属性を指定すると、IAM Identity Center は認証されたユーザーの属性値を IAM に渡し、ポリシー評価で使用できるようにします。

## aws:PrincipalTag 条件キー
<a name="abac-principaltag"></a>

アクセスコントロール属性は、アクセスコントロールルールを作成するための `aws:PrincipalTag` 条件キーを使って、アクセス権限セットに使用することができます。例えば、次のポリシーでは、組織内のすべてのリソースに、それぞれのコストセンターをタグ付けすることができます。また、開発者にコストセンターのリソースへのアクセスを許可する単一のアクセス権限セットを使用することもできます。これで、開発者が SSO とコストセンター属性を使ってアカウントに連携すると、それぞれのコストセンターのリソースにしかアクセスできなくなります。チームがプロジェクトに開発者やリソースを追加しても、リソースに正しいコストセンターをタグ付けするだけで済みます。次に、デベロッパーが AWS フェデレーションするときに、セッションでコストセンター情報を渡します AWS アカウント。その結果、組織がコストセンターに新しいリソースや開発者を追加しても、開発者は権限の更新を必要とせずに、コストセンターに整合したリソースを管理することができます。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeInstances"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:StartInstances",
                "ec2:StopInstances"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "ec2:ResourceTag/CostCenter": "${aws:PrincipalTag/CostCenter}"
                }
            }
        }
    ]
}
```

------

ユーザーが IAM Identity Center AWS アカウント を介して にフェデレーションすると、設定されたアクセスコントロール属性がセッションタグとして渡されます。これらのセッションタグは、 `aws:PrincipalTag/{{tag-key}}`条件キーを使用してポリシーで参照できます。この条件キーは、アイデンティティベースのポリシー、リソースベースのポリシー、アクセス許可の境界、サービスコントロールポリシー (SCPs)、VPC AWS エンドポイントポリシーなど、条件を使用できるすべての関連する IAM ポリシータイプでサポートされています。これにより、環境全体の AWS ユーザー属性に基づいてきめ細かなアクセスコントロールを決定できます。

詳細については、「*IAM ユーザーガイド*」の[https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principaltag](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principaltag) および「[EC2: 一致するプリンシパルタグとリソースタグに基づいてインスタンスを開始または停止する](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_examples_ec2-start-stop-match-tags.html)」を参照してください。

ポリシーの条件に無効な属性が含まれている場合、ポリシーの条件は失敗し、アクセスは拒否されます。詳細については、「[ユーザーが外部の ID プロバイダーを使用してサインインしようとすると、「予期しないエラーが発生しました」というエラーが発生します](troubleshooting.md#issue8)」を参照してください。