IAM: añadir una etiqueta específica a un usuario con una etiqueta específica - AWS Identity and Access Management

IAM: añadir una etiqueta específica a un usuario con una etiqueta específica

En este ejemplo se muestra cómo es posible crear una política de IAM con la que permite añadir la clave de etiqueta Department con los valores de etiqueta Marketing, Development o QualityAssurance a un usuario de IAM. El usuario ya debe incluir el par clave–valor JobFunction = manager. Puede utilizar esta política para exigir que un administrador solo pertenezca a uno de tres departamentos.Esta política define permisos para el acceso mediante programación y a la consola.Para utilizar esta política, sustituya el texto rojo en cursiva del ejemplo de política por su propia información. A continuación, siga las instrucciones en crear una política o editar una política.

La instrucción ListTagsForAllUsers permite ver las etiquetas de todos los usuarios de la cuenta.

La primera condición de la instrucción TagManagerWithSpecificDepartment utiliza el operador de condición StringEquals. La condición se cumple si ambas partes de la condición son ciertas. El usuario que se etiqueta ya debe tener la etiqueta JobFunction=Manager. La solicitud debe incluir la clave de etiqueta Department con uno de los valores de etiqueta que se indican.

La segunda condición utiliza el operador de condición ForAllValues:StringEquals. La condición se cumple si todas las claves de etiqueta de la solicitud coinciden con la clave de la política. Esto significa que la única clave de etiqueta de la solicitud debe ser Department. Para obtener más información acerca del uso de ForAllValues, consulte Creación de una condición con varias claves o valores.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "ListTagsForAllUsers", "Effect": "Allow", "Action": [ "iam:ListUserTags", "iam:ListUsers" ], "Resource": "*" }, { "Sid": "TagManagerWithSpecificDepartment", "Effect": "Allow", "Action": "iam:TagUser", "Resource": "*", "Condition": {"StringEquals": { "iam:ResourceTag/JobFunction": "Manager", "aws:RequestTag/Department": [ "Marketing", "Development", "QualityAssurance" ] }, "ForAllValues:StringEquals": {"aws:TagKeys": "Department"} } } ] }