Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Steuerung des Zugriffs auf und für IAM-Benutzer und IAM-Rollen mithilfe von Tags
Verwenden Sie die Informationen im folgenden Abschnitt, um zu steuern, wer auf Ihre IAM-Benutzer und IAM-Rollen zugreifen kann und auf welche Ressourcen Ihre Benutzer und Rollen zugreifen können. Weitere allgemeine Informationen und Beispiele für die Steuerung des Zugriffs auf andere AWS-Ressourcen, inklusive andere IAM-Ressourcen, finden Sie unter Markieren von IAM-Ressourcen.
Anmerkung
Einzelheiten zur Berücksichtigung der Groß- und Kleinschreibung bei Tag-Schlüsseln und Tag-Schlüsselwerten finden Sie unter Case sensitivity.
Tags können an die IAM-Ressource angehängt, in der Anforderung übergeben oder an den Auftraggeber, der die Anforderung stellt, angehängt werden. Ein Benutzer oder eine Rolle in IAM kann sowohl eine Ressource als auch ein Auftraggeber sein. Sie können beispielsweise eine Richtlinie schreiben, mit der ein Benutzer die Gruppen für einen Benutzer auflisten kann. Diese Operation ist nur zulässig, wenn der Benutzer, der die Anforderung stellt (der Auftraggeber), über das gleiche project=blue-Tag verfügt wie der Benutzer, den er anzeigen möchte. In diesem Beispiel kann der Benutzer die Gruppenmitgliedschaft für jeden Benutzer anzeigen, einschließlich sich selbst, solange sie an demselben Projekt arbeiten.
Um den Zugriff auf Grundlage von Tags zu steuern, geben Sie im Bedingungselement einer Richtlinie Tag-Informationen an. Wenn Sie eine IAM-Richtlinie erstellen, können Sie IAM-Tags und den zugehörigen Tag-Bedingungsschlüssel verwenden, um den Zugriff auf Folgendes zu steuern:
-
Ressource – Steuern Sie den Zugriff auf Benutzer- oder Rollenressourcen basierend auf ihren Tags. Verwenden Sie dazu den Bedingungsschlüssel aws:ResourceTag/
key-name, um anzugeben, welches Tag-Schlüssel-Wert-Paar an die Ressource angehängt werden muss. Weitere Informationen finden Sie unter Steuern des Zugriffs auf AWS -Ressourcen. -
Anforderung – Bestimmen, welche Tags in einer IAM-Anforderung weitergeleitet werden können. Verwenden Sie dazu den Bedingungsschlüssel aws:RequestTag/
key-name, um anzugeben, welche Tags einem IAM-Benutzer oder einer IAM-Rolle hinzugefügt, geändert oder entfernt werden können. Dieser Schlüssel wird auf die gleiche Weise für IAM-Ressourcen und andere AWS-Ressourcen verwendet. Weitere Informationen finden Sie unter Zugriffssteuerung während AWS -Anforderungen. -
Auftraggeber – Steuern Sie, welche Aktionen die Person, von der die Anforderung stammt (der Auftraggeber), durchführen darf, auf Grundlage der Tags, die dem IAM-Benutzer oder der Rolle der Person angefügt sind. Verwenden Sie dazu den Bedingungsschlüssel aws:PrincipalTag/
key-name, um anzugeben, welche Tags an den IAM-Benutzer oder die IAM-Rolle angehängt werden müssen, bevor die Anforderung zulässig ist. -
Ein beliebiger Teil des Autorisierungsprozesses – Verwenden Sie den Bedingungsschlüssel aws:TagKeys, um zu steuern, ob bestimmte Tag-Schlüssel in einer Anforderung oder von einem Prinzipal verwendet werden können. In diesem Fall spielt der Schlüsselwert keine Rolle. Dieser Schlüssel verhält sich für IAM und andere -AWSServices ähnlich. Wenn Sie jedoch einen Benutzer in IAM markieren, steuert dies auch, ob der Auftraggeber die Anforderung an einen beliebigen Service stellen kann. Weitere Informationen finden Sie unter Zugriffssteuerung auf der Grundlage von Tag-Schlüsseln.
Sie können eine IAM-Richtlinie mit dem visuellen Editor, JSON oder durch Importieren einer vorhandenen verwalteten Richtlinie erstellen. Details hierzu finden Sie unter Erstellen von IAM-Richtlinien.
Anmerkung
Sie können Sitzungs-Tags auch übergeben, wenn Sie eine IAM-Rolle übernehmen oder einen Benutzer in einen Verbund aufnehmen. Diese sind nur für die Dauer der Sitzung gültig.
Zugriffssteuerung für IAM-Auftraggeber
Sie können steuern, was der Auftraggeber tun darf, basierend auf den Tags, die der Identität dieser Person zugeordnet sind.
Dieses Beispiel zeigt, wie Sie eine identitätsbasierte Richtlinie erstellen können, die es jedem Benutzer in diesem Konto erlaubt, die Gruppenmitgliedschaft für jeden Benutzer, einschließlich sich selbst, anzuzeigen, solange sie am selben Projekt arbeiten. Diese Operation ist nur zulässig, wenn das Ressourcen-Tag des Benutzers und das Tag des Auftraggebers denselben Wert für den Tag-Schlüssel besitzen. project. Um diese Richtlinie zu verwenden, ersetzen Sie den kursiv gedruckten Platzhaltertext in der Beispielrichtlinie durch Ihre eigenen Informationen. Befolgen Sie dann die Anweisungen unter Erstellen einer Richtlinie oder Bearbeiten einer Richtlinie.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": "iam:ListGroupsForUser", "Resource": "arn:aws:iam::111222333444:user/*", "Condition": { "StringEquals": {"aws:ResourceTag/project": "${aws:PrincipalTag/project}"} } }] }
Zugriffssteuerung auf der Grundlage von Tag-Schlüsseln
Sie können Tags in Ihren IAM-Richtlinien verwenden, um zu steuern, ob bestimmte Tag-Schlüssel in einer Anforderung oder von einem Prinzipal verwendet werden können.
Dieses Beispiel zeigt, wie Sie eine identitätsbasierte Richtlinie erstellen können, die es erlaubt, nur das Tag mit dem Schlüssel temporary von Benutzern zu entfernen. Um diese Richtlinie zu verwenden, ersetzen Sie den kursiv gedruckten Platzhaltertext in der Beispielrichtlinie durch Ihre eigenen Informationen. Befolgen Sie dann die Anweisungen unter Erstellen einer Richtlinie oder Bearbeiten einer Richtlinie.
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": "iam:UntagUser", "Resource": "*", "Condition": {"ForAllValues:StringEquals": {"aws:TagKeys": ["temporary"]}} }] }
