Agregar etiquetas a vistas - Explorador de recursos de AWS
Añadir etiquetas a sus vistasControlar los permisos con etiquetasHacer referencia a etiquetas en una política de ABAC

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Agregar etiquetas a vistas

Puede agregar etiquetas a las vistas para categorizarlas. Las etiquetas son metadatos proporcionados por el cliente que adoptan la forma de una cadena de nombre clave y una cadena de valores opcionales asociada. Para obtener más información sobre cómo etiquetar recursos de AWS, consulte Etiquetado de recursos de AWS en la Referencia general de Amazon Web Services.

Añadir etiquetas a sus vistas

Puede añadir etiquetas a sus vistas de Resource Explorer mediante la AWS Management Console o ejecutando comandos AWS CLI o sus operaciones de API equivalentes en un SDK de AWS.

AWS Management Console
Para añadir etiquetas a una vista

  1. Abra la página de vistas de Resource Explorer y elija el nombre de la vista que desea etiquetar para mostrar su página de Detalles.

  2. En Etiquetas, elija Administrar etiquetas.

  3. Para agregar una etiqueta, elija Agregar etiqueta y, a continuación, ingrese la clave y el valor opcional de la etiqueta.

    nota

    También puede eliminar una etiqueta seleccionando la X que se encuentra junto a la etiqueta.

    Puede asociar hasta 50 etiquetas definidas por el usuario a un recurso. Las etiquetas que se crean y que AWS administra automáticamente no se tienen en cuenta para esta cuota.

  4. Cuando termine de realizar los cambios en las etiquetas, elija Guardar.

AWS CLI
Para añadir etiquetas a una vista

Ejecute el siguiente comando para agregar etiquetas a una vista. En el siguiente ejemplo, se agregan etiquetas con el nombre clave environment y el valor production a la vista especificada.

$ aws resource-explorer-2 tag-resource \
    --resource-id arn:aws:resource-explorer-2:us-east-1:123456789012:view/MyViewName/1a2b3c4d-5d6e-7f8a-9b0c-abcd11111111 \
    --tags environment=production

El comando anterior no genera ningún resultado si se utiliza correctamente.

nota

Para eliminar una etiqueta existente de una vista, utilice el comando untag-resource.

Controlar los permisos con etiquetas

Un uso clave del etiquetado es para respaldar una estrategia de control de acceso basado en atributos (ABAC). ABAC puede ayudar a simplificar la gestión de permisos al permitirle etiquetar los recursos. Después, se conceden permisos a los usuarios para los recursos que estén etiquetados de una forma determinada.

Por ejemplo, considere esta situación: En el caso de una vista llamada ViewA, debe adjuntar la etiqueta environment=prod (nombre clave=valor). Otra ViewB podría estar etiquetada environment=beta. Los roles y los usuarios se etiquetan con las mismas etiquetas y valores, en función del entorno al que debe poder acceder cada rol o usuario.

A continuación, puede asignar una política de permisos de AWS Identity and Access Management (IAM) a sus roles de IAM, grupos y usuarios. La política concede permiso para acceder y buscar mediante una vista solo si el rol o el usuario que realiza la solicitud de búsqueda tiene una etiqueta environmentcon el mismo valor que la etiqueta environment adjunta a la vista.

La ventaja de este enfoque es que es dinámico y no requiere que se lleve una lista de quién tiene acceso a qué recursos. En su lugar, debe asegurarse de que todos los recursos (sus vistas) y las entidades principales (roles de IAM y usuarios) estén etiquetados correctamente. Después, los permisos se actualizan automáticamente sin que tenga que cambiar ninguna política.

Hacer referencia a etiquetas en una política de ABAC

Una vez que las vistas estén etiquetadas, puede optar por utilizarlas para controlar el acceso dinámico a esas vistas. En el siguiente ejemplo de política se parte del supuesto de que tanto las entidades principales de IAM como las vistas se etiquetan con la clave de etiqueta environment y algún valor. Una vez hecho esto, puede asociar la siguiente política de ejemplo a sus entidades principales. Sus roles y usuarios pueden entonces Search usando cualquier vista que esté etiquetada con un valor de etiqueta environment que coincida exactamente con la etiqueta environment adjunta a la entidad principal.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "resource-explorer-2:GetView",
                "resource-explorer-2:Search"
            ],
            "Resource": "arn:aws:resource-explorer-2:us-east-1:123456789012:view/*",
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "aws:ResourceTag/environment": "${aws:PrincipalTag/environment}"
                }
            }
        }
    ]
}

Si tanto la entidad principal como la vista tienen la etiqueta environment, pero los valores no coinciden, o si en alguno de los dos falta la etiqueta environment, Resource Explorer deniega la solicitud de búsqueda.

Para obtener más información sobre el uso de ABAC para conceder acceso seguro a sus recursos, consulte ¿Qué es ABAC para AWS?