Steuerung des Zugriffs auf EC2-Ressourcen mithilfe von Ressourcen-Tags - Amazon Elastic Compute Cloud

Steuerung des Zugriffs auf EC2-Ressourcen mithilfe von Ressourcen-Tags

Wenn Sie eine IAM-Richtlinie erstellen, die IAM-Benutzern die Berechtigung erteilt, EC2-Ressourcen zu verwenden, können Sie Tag-Informationen in das Condition-Element der Richtlinie aufnehmen, um den Zugriff basierend auf Tags zu steuern. Dies wird als attributbasierte Zugriffskontrolle (ABAC) bezeichnet. ABAC bietet eine besser Kontrolle darüber, welche Ressourcen ein Benutzer ändern, verwenden oder löschen kann. Weitere Informationen finden Sie unter Was ist ABAC für AWS?

Beispielsweise können Sie eine Richtlinie erstellen, die es Benutzern ermöglicht, eine Instance zu beenden, aber die Aktion verweigert, wenn die Instance über das -Tag verfüg environment=production. Dazu verwenden Sie den ec2:ResourceTag-Bedingungsschlüssel, um den Zugriff auf die Ressource basierend auf den der Ressource zugewiesenen Tags zu erlauben oder zu verweigern.

"StringEquals": { "ec2:ResourceTag/environment": "production" }

Informationen darüber, ob eine Amazon EC2-API-Aktion das Steuern des Zugriffs mithilfe des ec2:ResourceTag-Bedingungsschlüssels unterstützt finden Sie unter Aktionen, Ressourcen und Bedingungsschlüssel für Amazon EC2. Beachten Sie, dass die Describe-Aktionen keine Berechtigungen auf Ressourcenebene unterstützen, sodass sie in einer separaten Anweisung ohne Bedingungen angegeben werden müssen.

Beispiele für IAM-Richtlinien finden Sie unter Beispielrichtlinien für das Arbeiten mit der AWS CLI oder einem AWS SDK.

Wenn Sie Benutzern den Zugriff zu Ressourcen auf der Grundlage von Tags gewähren oder verweigern, müssen Sie daran denken, Benutzern explizit das Hinzufügen und Entfernen dieser Tags von den jeweiligen Ressourcen unmöglich zu machen. Andernfalls können Benutzer möglicherweise Ihre Einschränkungen umgehen und sich Zugriff auf eine Ressource verschaffen, indem sie ihre Tags modifizieren.