IAM: Erstellen neuer Benutzer nur mit bestimmten Tags - AWS Identitäts- und Zugriffsverwaltung

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

IAM: Erstellen neuer Benutzer nur mit bestimmten Tags

Dieses Beispiel zeigt, wie Sie eine identitätsbasierte Richtlinie erstellen können, die die Erstellung von IAM-Benutzern erlaubt, aber nur mit einem oder beiden Tag-Schlüsseln Department und JobFunction. Der Department-Tag-Schlüssel muss entweder den Development- oder den QualityAssurance-Tag-Wert aufweisen. Der JobFunction-Tag-Schlüssel muss den Employee-Tag-Wert aufweisen. Mit dieser Richtlinie können Sie festlegen, dass neue Benutzer eine bestimmte Stellenfunktion und Abteilung aufweisen müssen. Diese Richtlinie gewährt die erforderlichen Berechtigungen, um diese Aktion programmgesteuert über die AWS API oder abzuschließen. AWS CLI Um diese Richtlinie zu verwenden, ersetzen Sie den kursiv gedruckten Platzhaltertext in der Beispielrichtlinie durch Ihre eigenen Informationen. Befolgen Sie dann die Anweisungen unter Erstellen einer Richtlinie oder Bearbeiten einer Richtlinie.

Die erste Bedingung in der Anweisung verwendet den StringEqualsIfExists-Bedingungsoperator. Wenn ein Tag mit dem Department- oder dem JobFunction-Schlüssel in der Anforderung vorhanden ist, muss das Tag den angegebenen Wert aufweisen. Wenn kein Schlüssel vorhanden ist, wird diese Bedingung als "true" ausgewertet. Die einzige Möglichkeit, dass die Bedingung als "false" ausgewertet wird, ist gegeben, wenn einer der angegebenen Bedingungsschlüssel in der Anforderung vorhanden ist, aber einen anderen Wert als die zulässigen hat. Weitere Informationen zur Verwendung von IfExists finden Sie unter ... IfExists Bedingungsoperatoren.

Die zweite Bedingung verwendet den ForAllValues:StringEquals-Bedingungsoperator. Die Bedingung gibt "true" zurück, wenn alle in der Anforderung angegebenen Tag-Schlüssel mit mindestens einem Richtlinienwert übereinstimmen. Das bedeutet, dass alle Tags in der Anforderung in dieser Liste aufgeführt sein müssen. Die Anforderung kann jedoch nur einen der Tags in der Liste enthalten. Sie können beispielsweise einen IAM-Benutzer nur mit dem Department=QualityAssurance-Tag erstellen. Es ist jedoch nicht möglich, einen IAM-Benutzer mit dem JobFunction=employee-Tag und dem Project=core-Tag zu erstellen. Weitere Informationen zur Verwendung von ForAllValues finden Sie unter Mehrwertige Kontextschlüssel.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "TagUsersWithOnlyTheseTags",
            "Effect": "Allow",
            "Action": [
                "iam:CreateUser",
                "iam:TagUser"
            ],
            "Resource": "*",
            "Condition": {
                "StringEqualsIfExists": {
                    "aws:RequestTag/Department": [
                        "Development",
                        "QualityAssurance"
                    ],
                    "aws:RequestTag/JobFunction": "Employee"
                },
                "ForAllValues:StringEquals": {
                    "aws:TagKeys": [
                        "Department",
                        "JobFunction"
                    ]
                }
            }
        }
    ]
}