Steuern Sie den Zugriff auf ECS Amazon-Ressourcen mithilfe von Ressourcen-Tags

Wenn Sie eine IAM Richtlinie erstellen, die Benutzern die Erlaubnis erteilt, ECS Amazon-Ressourcen zu verwenden, können Sie Tag-Informationen in das Condition Element der Richtlinie aufnehmen, um den Zugriff auf der Grundlage von Tags zu steuern. Dies wird als attributebasierte Zugriffskontrolle () bezeichnet. ABAC ABACbietet eine bessere Kontrolle darüber, welche Ressourcen ein Benutzer ändern, verwenden oder löschen kann. Weitere Informationen finden Sie unter Wozu ABAC dient es AWS?

Sie können z. B. eine Richtlinie erstellen, die es Benutzern erlaubt, einen Cluster zu löschen, diese Aktion aber verweigert, wenn der Cluster das Tag environment=production hat. Dazu verwenden Sie den aws:ResourceTag-Bedingungsschlüssel, um den Zugriff auf die Ressource basierend auf den der Ressource zugewiesenen Tags (Markierung) zu erlauben oder zu verweigern.

"StringEquals": { "aws:ResourceTag/environment": "production" }

Informationen darüber, ob eine ECS API Amazon-Aktion die Zugriffskontrolle mithilfe des aws:ResourceTag Bedingungsschlüssels unterstützt, finden Sie unter Aktionen, Ressourcen und Bedingungsschlüssel für Amazon ECS. Beachten Sie, dass die Describe-Aktionen keine Berechtigungen auf Ressourcenebene unterstützen, sodass sie in einer separaten Anweisung ohne Bedingungen angegeben werden müssen.

IAMRichtlinien finden Sie beispielsweise unterECSAmazon-Beispielrichtlinien .

Wenn Sie Benutzern den Zugriff zu Ressourcen auf der Grundlage von Tags (Markierungen) gewähren oder verweigern, müssen Sie daran denken, Benutzern explizit das Hinzufügen und Entfernen dieser Tags (Markierungen) von den jeweiligen Ressourcen unmöglich zu machen. Andernfalls können Benutzer möglicherweise Ihre Einschränkungen umgehen und sich Zugriff auf eine Ressource verschaffen, indem sie ihre Tags (Markierungen) modifizieren.