Uso de etiquetas para controlar el acceso a los recursos de Elastic Beanstalk - AWS Elastic Beanstalk

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Uso de etiquetas para controlar el acceso a los recursos de Elastic Beanstalk

Las condiciones en las declaraciones de política de usuarios de AWS Identity and Access Management (IAM) forman parte de la sintaxis que se utiliza para especificar permisos a los recursos que necesitan las acciones de Elastic Beanstalk para completarse. Para obtener más información acerca de la especificación de las condiciones de declaración de política, consulte Recursos y condiciones para las acciones de Elastic Beanstalk. El uso de etiquetas en las condiciones es una manera de controlar el acceso a los recursos y las solicitudes. Para obtener información sobre cómo etiquetar recursos de Elastic Beanstalk, consulte Etiquetar recursos de la aplicación Elastic Beanstalk. En este tema, se explica el control de acceso basado en etiquetas.

Al diseñar políticas de IAM, es posible que se establezcan permisos detallados mediante la concesión de acceso a recursos específicos. A medida que crezca la cantidad de recursos que administra, esta tarea será más complicada. El etiquetado de recursos y uso de etiquetas en las condiciones de declaración de política pueden facilitar esta tarea. Puede conceder acceso de forma masiva a cualquier recurso con una determinada etiqueta. A continuación, aplique repetidamente esta etiqueta a los recursos pertinentes durante la creación o después.

Las etiquetas se pueden asociar al recurso o pasarse dentro de la solicitud a los servicios que admiten etiquetado. En Elastic Beanstalk, los recursos pueden tener etiquetas y algunas acciones pueden incluir etiquetas. Al crear una política de IAM, puede utilizar las claves de condición de etiqueta para controlar:

  • Los usuarios que pueden realizar acciones en un entorno, en función de las etiquetas que ya tiene.

  • Las etiquetas que se pueden pasar en la solicitud de una acción.

  • Si se pueden utilizar claves de etiqueta específicas en una solicitud.

Para la sintaxis y semántica completas de las claves de condición de etiquetas, consulte Control del acceso mediante etiquetas en la Guía del usuario de IAM.

Los siguientes ejemplos muestran cómo especificar condiciones de etiquetas en las políticas para los usuarios de Elastic Beanstalk.

ejemplo 1: Limitar acciones en función de etiquetas en la solicitud

La política de usuario administrada de Elastic Beanstalk AdministratorAccess-AWSElasticBeanstalk proporciona a los usuarios permisos ilimitados para realizar cualquier acción de Elastic Beanstalk en cualquier recurso administrado por Elastic Beanstalk.

La siguiente política limita esta posibilidad y deniega el permiso a usuarios no autorizados para crear entornos de producción de Elastic Beanstalk. Para ello, deniega la acción CreateEnvironment si la solicitud especifica una etiqueta denominada stage con uno de los valores gamma o prod. Además, la política impide que estos usuarios no autorizados manipulen la fase de los entornos de producción no permitiendo acciones de modificación de etiquetas para incluir estos mismos valores de etiqueta o para eliminar la etiqueta stage completamente. El administrador de un cliente debe asociar esta política de IAM a los usuarios de IAM no autorizados, además de la política de usuario administrada.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": [
        "elasticbeanstalk:CreateEnvironment",
        "elasticbeanstalk:AddTags"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:RequestTag/stage": ["gamma", "prod"]
        }
      }
    },
    {
      "Effect": "Deny",
      "Action": [
        "elasticbeanstalk:RemoveTags"
      ],
      "Resource": "*",
      "Condition": {
        "ForAnyValue:StringEquals": {
          "aws:TagKeys": ["stage"]
        }
      }
    }
  ]
}
ejemplo 2: Limitar acciones en función de etiquetas de recursos

La política de usuario administrada de Elastic Beanstalk AdministratorAccess-AWSElasticBeanstalk proporciona a los usuarios permisos ilimitados para realizar cualquier acción de Elastic Beanstalk en cualquier recurso administrado por Elastic Beanstalk.

La siguiente política deniega permiso a usuarios no autorizados para realizar acciones en entornos de producción de Elastic Beanstalk. Para ello, deniega acciones específicas si el entorno tiene una etiqueta denominada stage con uno de los valores gamma o prod. El administrador de un cliente debe asociar esta política de IAM a los usuarios de IAM no autorizados, además de la política de usuario administrada.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": [
        "elasticbeanstalk:AddTags",
        "elasticbeanstalk:RemoveTags",
        "elasticbeanstalk:DescribeEnvironments",
        "elasticbeanstalk:TerminateEnvironment",
        "elasticbeanstalk:UpdateEnvironment",
        "elasticbeanstalk:ListTagsForResource"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:ResourceTag/stage": ["gamma", "prod"]
        }
      }
    }
  ]
}
ejemplo 3: Permitir acciones en función de etiquetas en la solicitud

La política siguiente concede a los usuarios permiso para crear aplicaciones de desarrollo de Elastic Beanstalk.

Para ello, permite las acciones CreateApplication y AddTags si la solicitud especifica una etiqueta denominada stage con el valor development. La condición aws:TagKeys garantiza que el usuario no pueda añadir otras claves de etiqueta. En particular, garantiza la distinción entre mayúsculas y minúsculas de la clave de etiqueta stage. Tenga en cuenta que esta política es útil para los usuarios de IAM que no tienen la política de usuario administrada de Elastic Beanstalk AdministratorAccess-AWSElasticBeanstalk. La política administrada proporciona a los usuarios permisos ilimitados para realizar cualquier acción de Elastic Beanstalk en cualquier recurso administrado por Elastic Beanstalk.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "elasticbeanstalk:CreateApplication",
        "elasticbeanstalk:AddTags"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:RequestTag/stage": "development"
        },
        "ForAllValues:StringEquals": {
          "aws:TagKeys": ["stage"]
        }
      }
    }
  ]
}
ejemplo 4: Permitir acciones en función de etiquetas de recursos

La siguiente política concede a los usuarios permiso para realizar acciones sobre aplicaciones de desarrollo de Elastic Beanstalk y obtener información sobre ellas.

Para ello, permite las acciones específicas si la aplicación especifica una etiqueta denominada stage con el valor development. La condición aws:TagKeys garantiza que el usuario no pueda añadir otras claves de etiqueta. En particular, garantiza la distinción entre mayúsculas y minúsculas de la clave de etiqueta stage. Tenga en cuenta que esta política es útil para los usuarios de IAM que no tienen la política de usuario administrada de Elastic Beanstalk AdministratorAccess-AWSElasticBeanstalk. La política administrada proporciona a los usuarios permisos ilimitados para realizar cualquier acción de Elastic Beanstalk en cualquier recurso administrado por Elastic Beanstalk.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "elasticbeanstalk:UpdateApplication",
        "elasticbeanstalk:DeleteApplication",
        "elasticbeanstalk:DescribeApplications"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:ResourceTag/stage": "development"
        },
        "ForAllValues:StringEquals": {
          "aws:TagKeys": ["stage"]
        }
      }
    }
  ]
}