IAM: asumir funciones que tienen una etiqueta específica

En este ejemplo se muestra cómo podría crear una política basada en identidad que permita a un usuario de IAM asumir roles con el par de valor de clave de etiqueta Project = ExampleCorpABC. Esta política concede los permisos necesarios para llevar a cabo esta acción mediante programación desde la API o la AWS CLI de AWS. Para utilizar esta política, sustituya el texto en cursiva del marcador de la política de ejemplo con su propia información. A continuación, siga las instrucciones en Crear una política o Editar una política.

Si una función con esta etiqueta existe en la misma cuenta que el usuario, este puede asumir esa función. Si una función con esta etiqueta existe en una cuenta que no sea la del usuario, requiere permisos adicionales. La política de confianza de la función entre cuentas también debe permitir al usuario o a todos los miembros de la cuenta del usuario para que asuman la función. Para obtener más información acerca de cómo utilizar las funciones para el acceso entre cuentas, consulte Acceso para un usuario de IAM en otra Cuenta de AWS propia.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AssumeTaggedRole",
            "Effect": "Allow",
            "Action": "sts:AssumeRole",
            "Resource": "*",
            "Condition": {
                "StringEquals": {"iam:ResourceTag/Project": "ExampleCorpABC"}
            }
        }
    ]
}

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

IAM: permite el acceso a la consola del simulador de políticas

IAM: permite y deniega de varios servicios (incluye la consola)