IAM: crear nuevos usuarios solo con etiquetas específicas - AWS Identity and Access Management

IAM: crear nuevos usuarios solo con etiquetas específicas

En este ejemplo se muestra cómo es posible crear una política de IAM con la que permite la creación de usuarios de IAM, pero solo con una o las dos claves de etiqueta Department y JobFunction. La clave de etiqueta Department debe tener el valor de etiqueta Development o QualityAssurance. La clave de etiqueta JobFunction debe tener el valor de etiqueta Employee. Puede utilizar esta política para exigir que los nuevos usuarios tengan una función de trabajo y un departamento específicos.Esta política proporciona los permisos necesarios para llevar a cabo esta acción únicamente desde la API o la AWS CLI de AWS.Para utilizar esta política, sustituya el texto rojo en cursiva del ejemplo de política por su propia información. A continuación, siga las instrucciones en crear una política o editar una política.

La primera condición de la instrucción utiliza el operador de condición StringEqualsIfExists. Si hay una etiqueta con la clave JobFunction o Department en la solicitud, deberá tener el valor especificado. Si no hay ninguna clave, la evaluación considera que la condición se cumple. La única manera de la evaluación considere que la condición no se cumple es que una de las claves de condición especificadas se encuentre en la solicitud, pero con un valor distinto de los permitidos. Para obtener más información acerca del uso de IfExists, consulte Operadores de condición ...IfExists.

La segunda condición utiliza el operador de condición ForAllValues:StringEquals. La condición se cumple si hay una coincidencia entre todas las claves de etiqueta especificadas en la solicitud con al menos uno de los valores de la política. Esto significa que todas las etiquetas de la solicitud deben encontrarse en esta lista. Sin embargo, la solicitud solo puede incluir una de las etiquetas de la lista. Por ejemplo, puede crear un usuario de IAM que solo tenga la etiqueta Department=QualityAssurance. Sin embargo, no puede crear un usuario de IAM con las etiquetas JobFunction=employee y Project=core. Para obtener más información acerca del uso de ForAllValues, consulte Creación de una condición con varias claves o valores.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "TagUsersWithOnlyTheseTags", "Effect": "Allow", "Action": [ "iam:CreateUser", "iam:TagUser" ], "Resource": "*", "Condition": { "StringEqualsIfExists": { "aws:RequestTag/Department": [ "Development", "QualityAssurance" ], "aws:RequestTag/JobFunction": "Employee" }, "ForAllValues:StringEquals": { "aws:TagKeys": [ "Department", "JobFunction" ] } } } ] }