IAM: agregar una etiqueta específica a un usuario con una etiqueta específica - AWS Identity and Access Management

IAM: agregar una etiqueta específica a un usuario con una etiqueta específica

Este ejemplo muestra cómo podría crear una política basada en identidad que permita agregar la clave de etiqueta Department con los valores de etiqueta Marketing, Development o QualityAssurance a un usuario de IAM. El usuario ya debe incluir el par clave-valor JobFunction = manager. Puede utilizar esta política para exigir que un administrador solo pertenezca a uno de tres departamentos. Esta política define los permisos para el acceso programático y a la consola. Para utilizar esta política, sustituya el texto en cursiva de la política de ejemplo por su propia información. A continuación, siga las instrucciones en Crear una política o Editar una política.

La instrucción ListTagsForAllUsers permite ver las etiquetas de todos los usuarios de la cuenta.

La primera condición de la instrucción TagManagerWithSpecificDepartment utiliza el operador de condición StringEquals. La condición se cumple si ambas partes de la condición son ciertas. El usuario que se etiqueta ya debe tener la etiqueta JobFunction=Manager. La solicitud debe incluir la clave de etiqueta Department con uno de los valores de etiqueta que se indican.

La segunda condición utiliza el operador de condición ForAllValues:StringEquals. La condición se cumple si todas las claves de etiqueta de la solicitud coinciden con la clave de la política. Esto significa que la única clave de etiqueta de la solicitud debe ser Department. Para obtener más información acerca del uso de ForAllValues, consulte Claves de contexto multivalor.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ListTagsForAllUsers",
            "Effect": "Allow",
            "Action": [
                "iam:ListUserTags",
                "iam:ListUsers"
            ],
            "Resource": "*"
        },
        {
            "Sid": "TagManagerWithSpecificDepartment",
            "Effect": "Allow",
            "Action": "iam:TagUser",
            "Resource": "*",
            "Condition": {"StringEquals": {
                "iam:ResourceTag/JobFunction": "Manager",
                "aws:RequestTag/Department": [
                    "Marketing",
                    "Development",
                    "QualityAssurance"
                    ]
                },
                "ForAllValues:StringEquals": {"aws:TagKeys": "Department"}
            }
        }
    ]
}