Concesión de permisos para etiquetar recursos de Aurora durante la creación
Algunas operaciones de la API de RDS le permiten especificar etiquetas durante la creación del recurso. Puede utilizar etiquetas de recursos para implementar el control basado en atributos (ABAC). Para obtener más información, consulte ¿Qué es ABAC para AWS? y Control del acceso a los recursos de AWS mediante etiquetas.
Para permitir que los usuarios etiqueten los recursos durante su creación, es preciso que tengan permisos para utilizar la acción que crea el recurso, por ejemplo rds:CreateDBCluster. Si se especifican etiquetas en la acción de creación, RDS realiza una autorización adicional en la acción rds:AddTagsToResource para verificar que los usuarios tengan permisos para crear etiquetas. Por lo tanto, los usuarios también deben tener permisos explícitos para usar la acción rds:AddTagsToResource.
En la definición de la política de IAM para la acción rds:AddTagsToResource, puede utilizar la clave de condición aws:RequestTag para requerir etiquetas en una solicitud de etiquetado de un recurso.
Por ejemplo, la siguiente política permite a los usuarios crear instancias de base de datos y aplicar etiquetas durante la creación de instancias de base de datos, pero solo con claves de etiqueta específicas (environment o project):
Esta política deniega cualquier solicitud de creación de instancias de base de datos que incluya etiquetas distintas de las etiquetas environment o project, o que no especifique ninguna de estas etiquetas. Además, los usuarios deben especificar valores para las etiquetas que coincidan con los valores permitidos en la política.
La siguiente política permite a los usuarios crear clústeres de base de datos y aplicar cualquier etiqueta durante la creación, excepto la etiqueta environment=prod:
Acciones de la API de RDS compatibles para etiquetar durante la creación
Las siguientes acciones de la API de RDS admiten el etiquetado al crear un recurso. Para estas acciones, puede especificar etiquetas al crear el recurso:
CreateBlueGreenDeploymentCreateCustomDBEngineVersionCreateDBClusterCreateDBClusterEndpointCreateDBClusterParameterGroupCreateDBClusterSnapshotCreateDBInstanceCreateDBInstanceReadReplicaCreateDBParameterGroupCreateDBProxyCreateDBProxyEndpointCreateDBSecurityGroupCreateDBShardGroupCreateDBSnapshotCreateDBSubnetGroupCreateEventSubscriptionCreateGlobalClusterCreateIntegrationCreateOptionGroupCreateTenantDatabaseCopyDBClusterParameterGroupCopyDBClusterSnapshotCopyDBParameterGroupCopyDBSnapshotCopyOptionGroupRestoreDBClusterFromS3RestoreDBClusterFromSnapshotRestoreDBClusterToPointInTimeRestoreDBInstanceFromDBSnapshotRestoreDBInstanceFromS3RestoreDBInstanceToPointInTimePurchaseReservedDBInstancesOffering
Si utiliza la AWS CLI o la API para crear un recurso con etiquetas, el parámetro Tags se utiliza para aplicar etiquetas a los recursos durante la creación.
En el caso de estas acciones de la API, si se produce un error al etiquetar, el recurso no se crea y se produce un error en la solicitud. Esto garantiza que los recursos se creen con etiquetas o, de lo contrario, no se creen sin las etiquetas correspondientes.
