Uso de etiquetas en las políticas de permisos de IAM - AWS Resource Groupsy etiquetas

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Uso de etiquetas en las políticas de permisos de IAM

AWS Identity and Access Management(IAM)es elAWSservicio que utiliza para crear y administrar políticas de permisos que determinen quién puede acceder aAWSde AWS. Todos los intentos de acceder a unAWSservicio o lectura o escritura de unAWSrecurso es el acceso controlado por una política de IAM de este tipo.

Estas políticas le permiten proporcionar acceso granular a sus recursos. Una de las funciones que puedes utilizar para ajustar este acceso es elConditionelemento de la política. Este elemento permite especificar las condiciones adicionales que deben coincidir con la solicitud para determinar si la solicitud puede continuar. Entre las cosas que puedes consultar con elConditionson las etiquetas que se adjuntan al usuario o rol que realiza la solicitud y las etiquetas adjuntas al recurso que es objeto de la solicitud.

Claves de condición relacionadas con etiquetas

Estas son las claves de condición que puede utilizar en una política de permisos de IAM para controlar el acceso en función de las etiquetas. Estas claves de condición permiten comparar las etiquetas del principal que llama a la operación, las etiquetas proporcionadas a la operación como parámetro y las etiquetas adjuntas al recurso al que tendría acceso la operación.

Consulte la página enlazada por elNombre de clave de condiciónpara obtener detalles completos sobre esa clave de condición y cómo utilizarla.

Nombre de clave de condición Descripción

aws:PrincipalTag

Compara la etiqueta asociada a la entidad principal (usuario o rol de IAM) que realiza la solicitud con la etiqueta que especifique en la política.

aws:RequestTag Compara el par clave-valor de etiqueta que se transfirió a la solicitud como parámetro con el par clave-valor de etiqueta que especifique en la política.

aws:ResourceTag

Compara el par clave-valor de etiqueta que especifique en la política con el par clave-valor asociado al recurso.

aws:TagKeys Compara solo la etiquetaClaves deen una solicitud con las claves que especifique en la política.

Ejemplos de políticas de IAM que utilizan etiquetas

ejemplo Ejemplo 1: Obligar a los usuarios a adjuntar una etiqueta específica cuando crean un recurso

En el siguiente ejemplo, la política de permisos de IAM muestra cómo obligar al usuario que crea o modifica las etiquetas de una política de IAM a incluir una etiqueta con la clave.Ownery el valor establecido para las personasAWSNombre de usuario. Si no se cumplen esas condiciones, la política no coincide y no se permite la operación.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "TagCustomerManagedPolicies", "Effect": "Allow", "Action": [ "iam:CreatePolicy", "iam:TagPolicy" ], "Resource": "arn:aws:iam::123456789012:policy/*", "Condition": { "StringEquals": { "aws:RequestTag/Owner": "${aws:username}" } } } ] }

ejemplo Ejemplo 2: Usar etiquetas para limitar el acceso a un recurso a su «propietario»

En el siguiente ejemplo, la política de permisos de IAM permite al usuario detener una instancia de Amazon EC2 en ejecución solo si el usuario está etiquetado como propietario de esa instancia.

Este ejemplo es un ejemplo de «control de acceso basado en atributos». Para obtener más información y ejemplos adicionales del uso de políticas de IAM para implementar una estrategia de control de acceso basada en etiquetas, consulteControl del acceso aAWSrecursos de mediante etiquetasyControl de acceso a usuarios y roles de IAM y para ellos mediante etiquetas, ambos en elIAM User Guide. También hay un tutorial mucho más completo que muestra cómo conceder acceso a diferentes proyectos y grupos utilizando varias etiquetas enTutorial de IAM: Definir permisos de accesoAWSrecursos de basados en etiquetas

{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor1", "Effect": "Allow", "Action": [ "ec2:StopInstances" ], "Resource": [ "arn:aws:iam::123456789012:instance/*" ], "Condition": { "StringEquals": { "aws:ResourceTag/Owner": "${aws:username}" } } } ] }