Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Verwenden von Tags mit IAM-Richtlinien
Sie können Tag-basierte Berechtigungen auf Ressourcenebene in den IAM-Richtlinien anwenden, die Sie für AWS IoT
-API-Aktionen verwenden. Dies ermöglicht Ihnen eine bessere Kontrolle darüber, welche Ressourcen ein Benutzer erstellen, ändern oder verwenden kann. Sie können das Condition-Element (auch als Condition-Block bezeichnet) mit den folgenden Bedingungskontextschlüsseln und Werten in einer IAM-Richtlinie zum Steuern des Benutzerzugriffs (Berechtigungen) basierend auf den Tags einer Ressource verwenden:
-
Verwenden Sie
aws:ResourceTag/, um Benutzeraktionen für Ressourcen mit bestimmten Tags zuzulassen oder zu verweigern.tag-key:tag-value -
Verwenden Sie
aws:RequestTag/, um festzulegen, dass ein bestimmtes Tag verwendet (oder nicht verwendet) wird, wenn Sie eine API-Anfrage stellen, um eine Ressource zu erstellen oder zu ändern, die Tags zulässt.tag-key:tag-value -
Verwenden Sie
aws:TagKeys: [, um zu verlangen, dass ein bestimmter Satz von Tag-Schlüsseln verwendet wird (oder nicht), wenn eine API-Anforderung zum Erstellen einer Ressource durchgeführt wird, die Tags zulässt.tag-key, ...]
Anmerkung
Die Bedingungskontextschlüssel und -werte in einer IAM-Richtlinie gelten nur für AWS IoT Aktionen, bei denen ein Identifier für eine Ressource, die markiert werden kann, ein erforderlicher Parameter ist. Beispielsweise DescribeEndpointist die Verwendung von auf der Grundlage von Bedingungskontextschlüsseln und -werten nicht zulässig oder verweigert, weil in dieser Anfrage auf keine markierbare Ressource (Dinggruppen, Dingtypen, Themenregeln, Jobs oder Sicherheitsprofile) verwiesen wird. Weitere Informationen zu markierbaren AWS IoT Ressourcen und Bedingungsschlüsseln, die sie unterstützen, finden Sie unter Aktionen, Ressourcen und Bedingungsschlüssel für. AWS IoT
Weitere Informationen finden Sie unter Zugriffssteuerung mit Tags im AWS Identity and Access Management Benutzerhandbuch. Der Abschnitt IAM-JSON-Richtlinienreferenz dieses Handbuchs enthält die detaillierte Syntax sowie Beschreibungen und Beispiele für Elemente, Variablen und die Auswertungslogik von JSON-Richtlinien in IAM.
Die folgende Beispielrichtlinie wendet zwei auf Tags basierende Einschränkungen für die ThingGroup-Aktionen an. Ein von dieser Richtlinie eingeschränkter IAM-Benutzer:
-
Es kann keine Objektgruppe mit dem Tag „env=prod“ erstellt werden (im Beispiel siehe Zeile
"aws:RequestTag/env" : "prod"). -
Kann keine Objektgruppe modifizieren oder darauf zugreifen, die den Tag „env=prod“ aufweist (im Beispiel vgl. die Zeile
"aws:ResourceTag/env" : "prod").
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "iot:CreateThingGroup", "Resource": "*", "Condition": { "StringEquals": { "aws:RequestTag/env": "prod" } } }, { "Effect": "Deny", "Action": [ "iot:CreateThingGroup", "iot:DeleteThingGroup", "iot:DescribeThingGroup", "iot:UpdateThingGroup" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceTag/env": "prod" } } }, { "Effect": "Allow", "Action": [ "iot:CreateThingGroup", "iot:DeleteThingGroup", "iot:DescribeThingGroup", "iot:UpdateThingGroup" ], "Resource": "*" } ] }
Sie können auch mehrere Tag-Werte für einen bestimmten Tag-Schlüssel angeben, indem Sie sie wie folgt in einer Liste angeben:
"StringEquals" : { "aws:ResourceTag/env" : ["dev", "test"] }
Anmerkung
Wenn Sie Benutzern den Zugriff zu Ressourcen auf der Grundlage von Tags (Markierungen) gewähren oder verweigern, müssen Sie daran denken, Benutzern explizit das Hinzufügen und Entfernen dieser Tags (Markierungen) von den jeweiligen Ressourcen unmöglich zu machen. Andernfalls können Benutzer möglicherweise Ihre Einschränkungen umgehen und sich Zugriff auf eine Ressource verschaffen, indem sie ihre Tags (Markierungen) modifizieren.
