Contrôler l’accès aux ressources EC2 à l’aide des balises de ressources

Lorsque vous créez une politique IAM qui accorde aux utilisateurs l’autorisation d’utiliser les ressources EC2, vous pouvez inclure des informations de balise dans l’élément Condition de la politique pour contrôler l’accès en fonction des balises. Ceci est connu sous le nom de contrôle d’accès basé sur les attributs (ABAC). ABAC vous offre un meilleur contrôle sur les ressources qu’un utilisateur peut modifier, utiliser ou supprimer. Pour plus d’informations, consultez Présentation d’ABAC pour AWS.

Par exemple, vous pouvez créer une stratégie qui permet aux utilisateurs de résilier une instance, mais qui refuse l’action si l’instance possède la balise environment=production. Pour ce faire, vous utilisez la clé de condition aws:ResourceTag pour autoriser ou refuser l’accès à la ressource en fonction des balises attachées à la ressource.

"StringEquals": { "aws:ResourceTag/environment": "production" }

Pour savoir si une action d’API Amazon EC2 prend en charge le contrôle d’accès à l’aide de la clé de condition aws:ResourceTag, consultez la section Actions, ressources et clés de condition pour Amazon EC2. Notez que les actions Describe ne prennent pas en charge les autorisations au niveau des ressources, vous devez donc les spécifier dans une instruction distincte sans condition.

Par exemple les stratégies IAM, consultez Exemples de politiques pour travailler avec le AWS CLI ou un AWS SDK.

Si vous autorisez ou refusez à des utilisateurs l’accès à des ressources en fonction de balises, vous devez envisager de refuser de manière explicite la possibilité pour les utilisateurs d’ajouter ces balises ou de les supprimer des mêmes ressources. Sinon, il sera possible pour un utilisateur de contourner vos restrictions et d’obtenir l’accès à une ressource en modifiant ses balises.