Exemple de balisage Balises pour la sécurité Contrôler l'accès aux balises

Prise en charge du balisage pour Application Auto Scaling

Vous pouvez utiliser le AWS CLI ou un SDK pour baliser les cibles évolutives d'Application Auto Scaling. Les cibles évolutives sont les entités qui représentent les ressources AWS ou les ressources personnalisées qu'Application Auto Scaling peut dimensionner.

Chaque balise est une étiquette composée d'une clé et d'une valeur définies par l'utilisateur à l'aide de l'API Application Auto Scaling. Les balises peuvent vous aider à configurer un accès détaillé à des cibles évolutives spécifiques en fonction des besoins de votre organisation. Pour plus d’informations, consultez ABACavec Application Auto Scaling.

Vous pouvez ajouter des balises à de nouvelles cibles évolutives lorsque vous les enregistrez, ou les ajouter à des cibles évolutives existantes.

Les commandes couramment utilisées pour gérer les balises sont les suivantes :

register-scalable-target pour baliser les nouvelles cibles évolutives lorsque vous les enregistrez.
tag-resource pour ajouter des balises à une cible évolutive existante.
list-tags-for-resource pour renvoyer les balises sur une cible évolutive.
untag-resource pour supprimer une balise.

Exemple de balisage

Utilisez la commande suivante register-scalable-target avec l'option --tags. Cet exemple balise une cible évolutive avec deux balises : une clé de balise nommée environment avec la valeur de balise de production et une clé de balise nommée iscontainerbased avec la valeur de balise de true.

Remplacez les exemples de valeurs pour --min-capacity --max-capacity et et de texte pour --service-namespace par l'espace de noms du AWS service que vous utilisez avec Application Auto Scaling, --scalable-dimension par la dimension évolutive associée à la ressource que vous enregistrez et --resource-id par un identifiant pour la ressource. Pour plus d'informations et des exemples pour chaque service, consultez les rubriques d'Services AWS que vous pouvez utiliser avec Application Auto Scaling.


aws application-autoscaling register-scalable-target \
  --service-namespace namespace \
  --scalable-dimension dimension \
  --resource-id identifier \
  --min-capacity 1 --max-capacity 10 \
  --tags environment=production,iscontainerbased=true

En cas de réussite, cette commande renvoie l'ARN de la cible évolutive.


{
    "ScalableTargetARN": "arn:aws:application-autoscaling:region:account-id:scalable-target/1234abcd56ab78cd901ef1234567890ab123"
}

Note

Si cette commande génère une erreur, assurez-vous d'avoir mis à jour AWS CLI localement la dernière version.

Balises pour la sécurité

Utilisez des balises pour vérifier que le demandeur (tel qu'un utilisateur ou un rôle IAM) est autorisé à effectuer certaines actions. Fournissez des informations de balise dans l'élément de condition d'une politique IAM à l'aide des clés de condition suivantes :

Utilisez aws:ResourceTag/tag-key: tag-value pour accorder (ou refuser) aux utilisateurs des actions sur des cibles évolutives avec des balises spécifiques.
Utilisez aws:RequestTag/tag-key: tag-value pour exiger qu'une balise spécifique soit présente (ou non) dans une demande.
Utilisez aws:TagKeys [tag-key, ...] pour exiger que des clés de balise spécifiques soient présentes (ou non) dans une demande.

Par exemple, la politique IAM suivante accorde des autorisations à l'utilisateur pour les actions DeregisterScalableTarget, DeleteScalingPolicy et DeleteScheduledAction. Cependant, elle refuse également les actions si le cible évolutive sur lequel porte l'action dispose de la balise environment=production.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [        
                "application-autoscaling:DeregisterScalableTarget",
                "application-autoscaling:DeleteScalingPolicy",
                "application-autoscaling:DeleteScheduledAction"
            ],
            "Resource": "*"
            }
        },
        {
            "Effect": "Deny",
            "Action": [        
                "application-autoscaling:DeregisterScalableTarget",
                "application-autoscaling:DeleteScalingPolicy",
                "application-autoscaling:DeleteScheduledAction"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {"aws:ResourceTag/environment": "production"}
            }
        }
    ]
}

Contrôler l'accès aux balises

Utilisez des balises pour vérifier que le demandeur (tel qu'un utilisateur ou un rôle IAM) dispose des autorisations d'ajouter, modifier ou supprimer des balises pour des cibles évolutives.

Par exemple, vous pouvez créer une politique IAM qui permet de supprimer uniquement la balise avec la clé temporary dans les cibles évolutives.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "application-autoscaling:UntagResource",
            "Resource": "*",
            "Condition": {
                "ForAllValues:StringEquals": { "aws:TagKeys": ["temporary"] }
            }
        }
    ]
}

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Amazon EventBridge

Sécurité