Uso de etiquetas con políticas de IAM - Integraciones gestionadas para AWS IoT Device Management

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Uso de etiquetas con políticas de IAM

Puedes aplicar permisos a nivel de recursos basados en etiquetas en las políticas de IAM que utilices para las acciones de la API de integraciones gestionadas. Esto le ofrece un mejor control sobre los recursos que un usuario puede crear, modificar o utilizar. Puede utilizar el elemento Condition (también llamado bloque Condition) junto con las siguientes claves contextuales de condición y valores en una política de IAM para controlar el acceso del usuario (permiso) en función de las etiquetas de un usuario:

  • Utilice aws:ResourceTag/tag-key: tag-value para permitir o denegar acciones de los usuarios en recursos con etiquetas específicas.

  • Utilice aws:RequestTag/tag-key: tag-value para exigir (o impedir) el uso de una etiqueta específica al realizar una solicitud de API para crear o modificar un recurso que permita etiquetas.

  • Utilice aws:TagKeys: [tag-key, ...] para exigir (o impedir) el uso de un conjunto de claves de etiquetas al realizar una solicitud de API para crear o modificar un recurso que permita etiquetas.

nota

Las condiciones, las claves y los valores contextuales de una política de IAM solo se aplican a las acciones de integraciones gestionadas en las que el identificador de un recurso que se pueda etiquetar es un parámetro obligatorio. Por ejemplo, el uso de no GetCustomEndpointestá permitido o se deniega en función de las claves y valores del contexto de la condición, ya que en esta solicitud no se hace referencia a ningún recurso etiquetable (elementos gestionados, perfiles de aprovisionamiento, casilleros de credenciales, over-the-air tareas). Para obtener más información sobre los recursos de las integraciones gestionadas que se pueden etiquetar y las claves de condición que admiten, consulte la función Acciones, recursos y claves de condición para las integraciones gestionadas. AWS IoT AWS IoT Device Management

Para obtener más información sobre el uso de etiquetas, consulte Control de acceso a los recursos de AWS mediante etiquetas, en la Guía del usuario de AWS Identity and Access Management . La sección de referencia de políticas JSON de IAM de esta guía incluye sintaxis, descripciones y ejemplos detallados de los elementos, variables y lógica de evaluación de las políticas JSON de IAM.

El siguiente ejemplo de política aplica a la acción dos restricciones basadas en etiquetas. CreateManagedThing Un usuario de IAM restringido por esta política:

  • No se puede crear un elemento gestionado con la etiqueta «env=prod» (en el ejemplo, consulta la línea). "aws:RequestTag/env" : "prod"

  • No se puede modificar ni acceder a un elemento gestionado que ya tenga la etiqueta «env=prod» (en el ejemplo, consulta la línea). "aws:ResourceTag/env" : "prod"

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": "iotmanagedintegrations:CreateManagedThing",
      "Resource": "arn:aws:iotmanagedintegrations:${Region}:${Account}:managed-thing/*",
      "Condition": {
        "StringEquals": {
          "aws:RequestTag/env": "prod"
        }
      }
    },
    {
      "Effect": "Deny",
      "Action": [
        "iotmanagedintegrations:CreateManagedThing",
        "iotmanagedintegrations:DeleteManagedThing",
        "iotmanagedintegrations:GetManagedThing",
        "iotmanagedintegrations:UpdateManagedThing"
      ],
      "Resource": "arn:aws:iotmanagedintegrations:${Region}:${Account}:managed-thing/*",
      "Condition": {
        "StringEquals": {
          "aws:ResourceTag/env": "prod"
        }
      }
    },
    {
      "Effect": "Allow",
      "Action": [
        "iotmanagedintegrations:CreateManagedThing",
        "iotmanagedintegrations:DeleteManagedThing",
        "iotmanagedintegrations:GetManagedThing",
        "iotmanagedintegrations:UpdateManagedThing"
      ],
      "Resource": "*"
    }
  ]
}

También puede especificar varios valores de etiqueta para una determinada clave de etiqueta encerrándola en una lista, tal y como se muestra a continuación: 


            "StringEquals" : {
              "aws:ResourceTag/env" : ["dev", "test"]
            }
nota

Si permite o deniega a los usuarios acceso a recursos en función de etiquetas, debe considerar denegar explícitamente a los usuarios la posibilidad de agregar estas etiquetas o retirarlas de los mismos recursos. De lo contrario, es posible que un usuario eluda sus restricciones y obtenga acceso a un recurso modificando sus etiquetas.