Richtlinien für Tag-basierte Zugriffskontrolle - Amazon EMR
Erlauben Sie Aktionen nur für Ressourcen mit bestimmten Tag-WertenKennzeichnung bei der Erstellung einer Ressource vorschreibenZugriff zum Hinzufügen und Entfernen von Tags verweigern

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Richtlinien für Tag-basierte Zugriffskontrolle

Sie können in Ihrer identitätsbasierten Richtlinie auf Tags basierende Bedingungen zum Steuern des Zugriffs auf virtuelle Cluster und Auftragsausführungen zu steueren. Weitere Informationen über das Markieren mit Tags finden Sie unter Kennzeichnen Ihrer Ressourcen von Amazon EMR in EKS.

Die folgenden Beispiele zeigen verschiedene Szenarien und Möglichkeiten, Bedingungsoperatoren mit EMR Amazon für EKS Bedingungsschlüssel zu verwenden. Diese IAM Grundsatzerklärungen dienen nur zu Demonstrationszwecken und sollten nicht in Produktionsumgebungen verwendet werden. Es gibt mehrere Möglichkeiten für die Kombination von Richtlinienanweisungen zum Gewähren oder Verweigern von Berechtigungen entsprechend Ihren Anforderungen. Weitere Informationen zur Planung und zum Testen von IAM Richtlinien finden Sie im IAMBenutzerhandbuch.

Wichtig

Das explizite Ablehnen von Berechtigungen für Markierungsaktionen stellt eine wichtige Überlegung dar. Dadurch wird verhindert, dass Benutzer eine Ressource markieren und sich dadurch selbst Berechtigungen erteilen, die Sie nicht gewähren wollten. Wenn Tagging-Aktionen für eine Ressource nicht verweigert werden, kann ein Benutzer Tags ändern und so die Absicht der tagbasierten Richtlinien umgehen. Ein Beispiel für eine Richtlinie, die Tagging-Aktionen verweigert, finden Sie unter Zugriff zum Hinzufügen und Entfernen von Tags verweigern.

Die folgenden Beispiele zeigen identitätsbasierte Berechtigungsrichtlinien, die zur Steuerung der Aktionen verwendet werden, die mit Amazon EMR auf EKS virtuellen Clustern zulässig sind.

Erlauben Sie Aktionen nur für Ressourcen mit bestimmten Tag-Werten

Im folgenden Richtlinienbeispiel versucht der StringEquals Bedingungsoperator, dev dem Wert für das Tag department zuzuordnen. Wenn das Tag department dem virtuellen Cluster nicht hinzugefügt wurde oder den Wert dev nicht enthält, ist die Richtlinie nicht anzuwenden und die Aktionen werden von dieser Richtlinie nicht zugelassen. Wenn keine anderen Richtlinienanweisungen die Aktionen zulassen, kann der Benutzer nur mit virtuellen Clustern arbeiten, die dieses Tag mit diesem Wert enthalten.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "emr-containers:DescribeVirtualCluster"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:ResourceTag/department": "dev"
        }
      }
    }
  ]
}

Sie können auch mehrere Tag-Werte mithilfe eines Bedingungsoperators angeben. Um beispielsweise Aktionen in virtuellen Clustern zuzulassen, in denen das Tag department den Wert dev oder test enthält können Sie den Bedingungsblock im vorherigen Beispiel durch Folgendes ersetzen.

"Condition": {
        "StringEquals": {
          "aws:ResourceTag/department": ["dev", "test"]
        }
      }

Kennzeichnung bei der Erstellung einer Ressource vorschreiben

Im folgenden Beispiel muss das Tag bei der Erstellung des virtuellen Clusters angewendet werden.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "emr-containers:CreateVirtualCluster"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:RequestTag/department": "dev"
        }
      }
    }
  ]
}

Mit der folgenden Richtlinienanweisung kann ein Benutzer nur dann einen virtuellen Cluster erstellen, wenn der Cluster über ein department-Tag verfügt, das einen beliebigen Wert enthalten kann.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "emr-containers:CreateVirtualCluster"
      ],
      "Resource": "*",
      "Condition": {
        "Null": {
          "aws:RequestTag/department": "false"
        }
      }
    }
  ]
}

Zugriff zum Hinzufügen und Entfernen von Tags verweigern

Diese Richtlinie sieht vor, einem Benutzer die Berechtigung zum Hinzufügen oder Entfernen von Tags in virtuellen Clustern, die mit einem department-Tag mit dem Wert dev markiert sind, zu verweigern.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": [
        "emr-containers:TagResource",
        "emr-containers:UntagResource"
      ],
      "Resource": "*",
      "Condition": {
        "StringNotEquals": {
          "aws:ResourceTag/department": "dev"
        }
      }
    }
  ]
}