Verwenden von Tags in IAM-Richtlinien - Amazon Personalize

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwenden von Tags in IAM-Richtlinien

Nachdem Sie mit der Implementierung von Tags begonnen haben, können Sie tagbasierte Berechtigungen auf Ressourcenebene auf AWS Identity and Access Management (IAM)-Richtlinien und API-Vorgänge anwenden. Dies umfasst Vorgänge, die das Hinzufügen von Tags zu Ressourcen beim Erstellen von Ressourcen unterstützen. Durch die Verwendung von Tags auf diese Weise können Sie detailliert steuern, welche Gruppen und Benutzer in Ihrem AWS Konto berechtigt sind, Ressourcen zu erstellen und zu taggen, und welche Gruppen und Benutzer generell berechtigt sind, Tags zu erstellen, zu aktualisieren und zu entfernen.

Sie können beispielsweise eine Richtlinie erstellen, die einem Benutzer vollen Zugriff auf alle Amazon Personalize-Ressourcen gewährt, deren Name ein Wert im Owner Tag für die Ressource ist.

{
   "Version": "2012-10-17",
   "Statement": [
      {
         "Sid": "ModifyResourceIfOwner",
         "Effect": "Allow",
         "Action": "personalize:*",
         "Resource": "*",
         "Condition": {
            "StringEqualsIgnoreCase": {
               "aws:ResourceTag/Owner": "${aws:username}"
            }
         }
      }
   ]
}

Das folgende Beispiel zeigt, wie Sie eine Richtlinie erstellen, die das Erstellen und Löschen eines Datensatzes ermöglicht. Diese Operationen sind nur zulässig, wenn der Benutzername lautetjohndoe.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "personalize:CreateDataset",
                "personalize:DeleteDataset"
            ],
            "Resource": "arn:aws:personalize:*:*:dataset/*",
            "Condition": {
                "StringEquals": {"aws:username" : "johndoe"}
            }
        },
        {
            "Effect": "Allow",
            "Action": "personalize:DescribeDataset",
            "Resource": "*"
        }
    ]
}

Wenn Sie Tag-basierte Berechtigungen auf Ressourcenebene definieren, werden die Berechtigungen sofort wirksam. Dies bedeutet, dass Ihre Ressourcen besser geschützt sind, sobald sie erstellt wurden, und Sie schnell damit beginnen können, die Verwendung von Tags für neue Ressourcen zu erzwingen. Mithilfe von Berechtigungen auf Ressourcenebene können Sie auch steuern, welche Tag-Schlüssel und -Werte können mit neuen und vorhandenen Ressourcen verknüpft werden können. Weitere Informationen finden Sie unter Zugriffssteuerung mit Tags im AWS -IAM-Benutzerhandbuch.