Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Tags zur Steuerung des Zugriffs auf Elastic Beanstalk-Ressourcen verwenden
Bedingungen in Richtlinienanweisungen von AWS Identity and Access Management (IAM)-Benutzern sind Teil der Syntax, die Sie verwenden, um Berechtigungen für Ressourcen festzulegen, die Elastic-Beanstalk-Aktionen zu ihrer Ausführung benötigen. Weitere Informationen zum Festlegen von Bedingungen für Richtlinienanweisungen finden Sie unter Ressourcen und Bedingungen für Elastic Beanstalk-Aktionen. Das Verwenden von Tags in Bedingungen ist eine Möglichkeit zur Kontrolle des Zugriffs auf Ressourcen und Anfragen. Informationen zum Tagging von Elastic Beanstalk-Ressourcen finden Sie unter Markieren von Elastic Beanstalk-Anwendungsressourcen. Dieses Thema behandelt die Tag-basierte Zugriffskontrolle.
Wenn Sie IAM-Richtlinien entwerfen, können Sie präzise abgestufte Berechtigungen festlegen, indem Sie Zugriff auf bestimmte Ressourcen gewähren. Mit zunehmender Anzahl der Ressourcen, die Sie verwalten, wird diese Aufgabe erschwert. Durch Markieren von Ressourcen und Verwenden von Tags in Richtlinienanweisungsbedingungen lässt sich diese Aufgabe vereinfachen. Sie erteilen Massenzugriff auf eine beliebige Ressource mit einem bestimmten Tag. Anschließend wenden Sie dieses Tag während der Erstellung oder zu einem späteren Zeitpunkt wiederholt auf relevante Ressourcen an.
Markierungen können an die Ressource angehängt oder in der Anfrage an Services übergeben werden, die das Markieren unterstützen. In Elastic Beanstalk können Ressourcen Tags haben, und einige Aktionen können Tags enthalten. Wenn Sie eine IAM-Richtlinie erstellen, können Sie Tag-Bedingungsschlüssel verwenden, um Folgendes zu kontrollieren:
-
Welche Benutzer Aktionen für eine Umgebung ausführen können, basierend auf bereits vorhandenen Tags.
-
Welche Tags in der Anforderung einer Aktion übergeben werden können.
-
Ob bestimmte Tag-Schlüssel in einer Anforderung verwendet werden können.
Die vollständige Syntax und Semantik der Tag-Bedingungsschlüssel finden Sie unter Steuern des Zugriffs mit Tags im IAM-Benutzerhandbuch.
Die folgenden Beispiele zeigen, wie Sie Tag-Bedingungen in Richtlinien für Elastic Beanstalk-Benutzer festlegen können.
Beispiel 1: Einschränken von Aktionen basierend auf Tags in der Anforderung
Die von Elastic Beanstalk AdministratorAccess-AWSElasticBeanstalk verwaltete Benutzerrichtlinie gibt Benutzern eine unbegrenzte Berechtigung, jede Elastic-Beanstalk-Aktion für alle von Elastic Beanstalk verwalteten Ressourcen durchzuführen.
Mit der folgenden Richtlinie wird nicht autorisierten Benutzern die Berechtigung verweigert, Elastic Beanstalk-Produktionsumgebungen zu erstellen. Dazu verweigert es die CreateEnvironment-Aktion, wenn die Anforderung ein Tag mit dem Namen stage und einem der Werte gamma oder prod festlegt. Darüber hinaus verhindert diese Richtlinie, dass nicht autorisierte Benutzer die Phase der Produktionsumgebungen manipulieren, indem sie Tag-Änderungsaktionen verhindert, bei denen die gleichen Tag-Werte betroffen sind oder bei denen das stage-Tag vollständig entfernt wird. Der Administrator eines Kunden muss diese IAM-Richtlinie nicht autorisierten IAM-Benutzern hinzufügen, zusätzlich zu der verwalteten Benutzerrichtlinie.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "elasticbeanstalk:CreateEnvironment", "elasticbeanstalk:AddTags" ], "Resource": "*", "Condition": { "StringEquals": { "aws:RequestTag/stage": ["gamma", "prod"] } } }, { "Effect": "Deny", "Action": [ "elasticbeanstalk:RemoveTags" ], "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "aws:TagKeys": ["stage"] } } } ] }
Beispiel 2: Einschränken von Aktionen basierend auf Ressourcen-Tags
Die von Elastic Beanstalk AdministratorAccess-AWSElasticBeanstalk verwaltete Benutzerrichtlinie gibt Benutzern eine unbegrenzte Berechtigung, jede Elastic-Beanstalk-Aktion für alle von Elastic Beanstalk verwalteten Ressourcen durchzuführen.
Mit der folgenden Richtlinie wird Benutzern die Berechtigung verweigert, Aktionen für Elastic Beanstalk-Produktionsumgebungen auszuführen. Dazu verweigert es bestimmte Aktionen, wenn die Umgebung über ein Tag mit dem Namen stage und einem der Werte gamma oder prod verfügt. Der Administrator eines Kunden muss diese IAM-Richtlinie nicht autorisierten IAM-Benutzern hinzufügen, zusätzlich zu der verwalteten Benutzerrichtlinie.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "elasticbeanstalk:AddTags", "elasticbeanstalk:RemoveTags", "elasticbeanstalk:DescribeEnvironments", "elasticbeanstalk:TerminateEnvironment", "elasticbeanstalk:UpdateEnvironment", "elasticbeanstalk:ListTagsForResource" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceTag/stage": ["gamma", "prod"] } } } ] }
Beispiel 3: Zulassen von Aktionen basierend auf Tags in der Anforderung
Mit der folgenden Richtlinie wird Benutzern die Berechtigung zum Erstellen von Elastic Beanstalk-Entwicklungsanwendungen erteilt.
Dazu werden die Aktionen CreateApplication und AddTags zugelassen, wenn die Anforderung ein Tag mit dem Namen stage mit dem Wert development angibt. Die aws:TagKeys-Bedingung stellt sicher, dass der Benutzer keine anderen Tag-Schlüssel hinzufügen kann. Insbesondere wird sichergestellt, dass die Groß-/Kleinschreibung des stage-Tag-Schlüssels berücksichtigt wird. Beachten Sie, dass sich diese Richtlinie für IAM-Benutzer eignet, denen die verwaltete Benutzerrichtlinie Elastic Beanstalk AdministratorAccess-AWSElasticBeanstalk nicht angefügt ist. Die verwaltete Richtlinie gibt Benutzern unbegrenzte Berechtigung, jede Elastic Beanstalk-Aktion für jede von Elastic BeanStalk-verwaltete Ressource durchzuführen.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "elasticbeanstalk:CreateApplication", "elasticbeanstalk:AddTags" ], "Resource": "*", "Condition": { "StringEquals": { "aws:RequestTag/stage": "development" }, "ForAllValues:StringEquals": { "aws:TagKeys": ["stage"] } } } ] }
Beispiel 4: Zulassen von Aktionen basierend auf Ressourcen-Tags
Mit der folgenden Richtlinie wird Benutzern die Berechtigung zum Ausführen von Aktionen auf und Abrufen von Informationen zu Elastic Beanstalk-Entwicklungsanwendungen gewährt.
Dazu werden bestimmte Aktionen zugelassen, wenn die Anwendung ein Tag mit dem Namen stage mit dem Wert development enthält. Die aws:TagKeys-Bedingung stellt sicher, dass der Benutzer keine anderen Tag-Schlüssel hinzufügen kann. Insbesondere wird sichergestellt, dass die Groß-/Kleinschreibung des stage-Tag-Schlüssels berücksichtigt wird. Beachten Sie, dass sich diese Richtlinie für IAM-Benutzer eignet, denen die verwaltete Benutzerrichtlinie Elastic Beanstalk AdministratorAccess-AWSElasticBeanstalk nicht angefügt ist. Die verwaltete Richtlinie gibt Benutzern unbegrenzte Berechtigung, jede Elastic Beanstalk-Aktion für jede von Elastic BeanStalk-verwaltete Ressource durchzuführen.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "elasticbeanstalk:UpdateApplication", "elasticbeanstalk:DeleteApplication", "elasticbeanstalk:DescribeApplications" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceTag/stage": "development" }, "ForAllValues:StringEquals": { "aws:TagKeys": ["stage"] } } } ] }
