IAM: crear nuevos usuarios solo con etiquetas específicas

Este ejemplo muestra cómo podría crear una política basada en identidad que permita la creación de usuarios de IAM, pero solo con una o ambas claves de etiqueta Department y JobFunction. La clave de etiqueta Department debe tener el valor de etiqueta Development o QualityAssurance. La clave de etiqueta JobFunction debe tener el valor de etiqueta Employee. Puede utilizar esta política para exigir que los nuevos usuarios tengan una función de trabajo y un departamento específicos. Esta política concede los permisos necesarios para llevar a cabo esta acción mediante programación desde la API o la AWS CLI de AWS. Para utilizar esta política, sustituya el texto en cursiva de la política de ejemplo por su propia información. A continuación, siga las instrucciones en Crear una política o Editar una política.

La primera condición de la instrucción utiliza el operador de condición StringEqualsIfExists. Si hay una etiqueta con la clave JobFunction o Department en la solicitud, deberá tener el valor especificado. Si no hay ninguna clave, la evaluación considera que la condición se cumple. La única manera de la evaluación considere que la condición no se cumple es que una de las claves de condición especificadas se encuentre en la solicitud, pero con un valor distinto de los permitidos. Para obtener más información acerca del uso de IfExists, consulte Operadores de condición …IfExists.

La segunda condición utiliza el operador de condición ForAllValues:StringEquals. La condición se cumple si hay una coincidencia entre todas las claves de etiqueta especificadas en la solicitud con al menos uno de los valores de la política. Esto significa que todas las etiquetas de la solicitud deben encontrarse en esta lista. Sin embargo, la solicitud solo puede incluir una de las etiquetas de la lista. Por ejemplo, puede crear un usuario de IAM que solo tenga la etiqueta Department=QualityAssurance. Sin embargo, no puede crear un usuario de IAM con las etiquetas JobFunction=employee y Project=core. Para obtener más información acerca del uso de ForAllValues, consulte Claves de contexto multivalor.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "TagUsersWithOnlyTheseTags",
            "Effect": "Allow",
            "Action": [
                "iam:CreateUser",
                "iam:TagUser"
            ],
            "Resource": "*",
            "Condition": {
                "StringEqualsIfExists": {
                    "aws:RequestTag/Department": [
                        "Development",
                        "QualityAssurance"
                    ],
                    "aws:RequestTag/JobFunction": "Employee"
                },
                "ForAllValues:StringEquals": {
                    "aws:TagKeys": [
                        "Department",
                        "JobFunction"
                    ]
                }
            }
        }
    ]
}

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

IAM: agregar una etiqueta específica

IAM: creación de informes de credenciales