Uso de etiquetas para controlar el acceso a los recursos de conexión de la cuenta - Amazon CodeCatalyst
Ejemplo 1: Permitir acciones basadas en las etiquetas de la solicitudEjemplo 2: Permitir acciones basadas en etiquetas de recursos

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Uso de etiquetas para controlar el acceso a los recursos de conexión de la cuenta

Las etiquetas se pueden adjuntar al recurso o pasar en la solicitud a los servicios que admiten el etiquetado. Los recursos de las políticas pueden tener etiquetas y algunas acciones de las políticas pueden incluirlas. Las claves de condición de etiquetado incluyen las claves de aws:ResourceTag condición aws:RequestTag y. Cuando crea una política de IAM, puede utilizar claves de condición de etiqueta para controlar lo siguiente:

  • Qué usuarios pueden realizar acciones en un recurso de conexión, en función de las etiquetas que ya tiene.

  • Qué etiquetas se pueden pasar en la solicitud de una acción.

  • Si se pueden utilizar claves de etiqueta específicas en una solicitud.

Los siguientes ejemplos muestran cómo especificar las condiciones de las etiquetas en las políticas para los usuarios de conexiones de CodeCatalyst cuentas. Para obtener más información acerca de las claves de condición, consulte Las condiciones políticas son las claves de la IAM.

Ejemplo 1: Permitir acciones basadas en las etiquetas de la solicitud

La siguiente política otorga a los usuarios permiso para aprobar las conexiones de las cuentas.

Para ello, permite las acciones AcceptConnection y TagResource si la solicitud especifica una etiqueta denominada Project con el valor ProjectA. (La clave de condición aws:RequestTag se utiliza para controlar qué etiquetas se pueden pasar en una solicitud de IAM). La condición aws:TagKeys garantiza la distinción entre mayúsculas y minúsculas de las claves de etiqueta.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "codecatalyst:AcceptConnection",
        "codecatalyst:TagResource"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:RequestTag/Project": "ProjectA"
        },
        "ForAllValues:StringEquals": {
          "aws:TagKeys": ["Project"]
        }
      }
    }
  ]
}

Ejemplo 2: Permitir acciones basadas en etiquetas de recursos

La siguiente política otorga a los usuarios permiso para realizar acciones en los recursos de conexión de cuentas y obtener información sobre ellos.

Para ello, permite realizar acciones específicas si la conexión tiene una etiqueta denominada Project con ese valorProjectA. (La clave de condición aws:ResourceTag se utiliza para controlar qué etiquetas se pueden pasar en una solicitud de IAM).

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "codecatalyst:GetConnection",
        "codecatalyst:DeleteConnection",
        "codecatalyst:AssociateIamRoleToConnection",
        "codecatalyst:DisassociateIamRoleFromConnection",
        "codecatalyst:ListIamRolesForConnection",
        "codecatalyst:PutBillingAuthorization"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:ResourceTag/Project": "ProjectA"
        }
      }
    }
  ]
}