CloudWatch Dashboardにタグが付けられるようになったのでABACでチーム別閲覧制御を試してみた

• URL: https://dev.classmethod.jp/articles/cloudwatch-dashboard-tags-abac
• 日付: 2026-06-25
• Tier: Tier 2
• 要旨: CloudWatch Dashboardがタグサポートを開始。従来のダッシュボード名ワイルドカードARNベースのアクセス制御からABAC（タグ値ベース）に移行でき、スケーラビリティ向上・ポリシー肥大化防止を実現。put-dashboardで–tagsオプション指定でタグ付与、Deny ポリシーでチーム別閲覧制御を検証。

詳細

ダッシュボードARN形式arn:aws:cloudwatch:::dashboard/でリージョン部分は空。put-dashboardで–tags Key=Team,Value=alpha形式でタグ付与、list-tags-for-resourceで確認、tag-resource/untag-resourceで操作可能。ABAC検証では、CloudWatchReadOnlyAccessをベース権限に、Deny ポリシーでaws:ResourceTag/Team=alphaでないダッシュボードへのGetDashboardを拒否。結果、Team=alphaダッシュボードは取得成功、Team=bravoは AccessDenied。ListDashboards（一覧表示）はDeny対象外なため両方表示されるが、GetDashboard（本文取得）で制御。マネジメントコンソールでもTeamB-Dashboardを開く際にGetDashboard拒否で内容非表示。大規模環境でダッシュボード増加時もポリシー変更不要で運用負荷軽減。