Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Utilisation de balises pour contrôler l'accès aux ressources CodeArtifact
Les conditions dans les instructions de stratégie d'utilisateur IAM font partie de la syntaxe que vous utilisez pour spécifier des autorisations pour les ressources dont les CodeArtifact actions ont besoin pour s'terminer. L'utilisation des balises dans les conditions est un moyen de contrôler l'accès aux ressources et demandes. Pour plus d'informations sur le balisage des ressources CodeArtifact, consultez Balisage des ressources. Cette rubrique explique le contrôle d'accès basé sur les balises.
Lorsque vous concevez des stratégies IAM, vous pouvez définir des autorisations granulaires en accordant l'accès à des ressources spécifiques. Au fur et à mesure que le nombre de ressources que vous gérez s'accroît, cette tâche devient plus difficile. Le balisage des ressources et l'utilisation de balises dans les déclarations de politique peuvent rendre cette tâche plus facile. Vous accordez l'accès en bloc à toute ressource avec une balise spécifique. Puis, vous appliquez cette balise à plusieurs reprises aux ressources correspondantes, lors de la création ou ultérieurement.
Les balises peuvent être attachées à la ressource ou transmises dans la demande aux services qui prennent en charge le balisage. Dans CodeArtifact, les ressources et certaines actions peuvent comporter des balises. Lorsque vous créez une politique IAM, vous pouvez utiliser des clés de condition de balise pour contrôler :
-
quels utilisateurs peuvent effectuer une ressource de domaine ou de référentiel, en balises qu'il possède déjà ;
-
quelles balises peuvent être transmises dans une demande d'action ;
-
si des clés de balise spécifiques peuvent être utilisées dans une demande.
Pour connaître la syntaxe complète et la sémantique des clés de condition de balise, consultez Contrôle de l'accès à l'aide de balises dans le Guide de l'utilisateur IAM .
Important
Lorsque vous utilisez des balises sur des ressources pour limiter les actions, les balises doivent figurer sur la ressource sur laquelle l'action s'effectue. Par exemple, pour refuser DescribeRepository des autorisations avec des balises, celles-ci doivent se trouver sur chaque référentiel et non sur le domaine. Consultez AWS CodeArtifact référence aux autorisations la liste des actions CodeArtifact et les ressources sur lesquelles elles s'appliquent.
Exemples de balises de balises de balises de balises de balises
Les exemples suivants montrent comment spécifier des conditions de balises dans les stratégies pour les utilisateurs CodeArtifact.
Exemple 1 : Limiter les actions en fonction des balises dans la demande
La stratégie utilisateur gérée AWSCodeArtifactAdminAccess fournit aux utilisateurs les autorisations complètes nécessaires pour effectuer une action CodeArtifact sur une ressource.
La stratégie suivante refuse aux utilisateurs non autorisés l'autorisation de créer des balises de balises dans les balises de balises dans les balises de balises dans les balises de balises dans les balises de balises. Pour ce faire, elle refuse dans CreateRepository la demande ne spécifie pas une balise nommée costcenter avec une balise nommée avec une valeur 1 ou2. L'administrateur d'un client peut attacher cette stratégie IAM aux utilisateurs IAM non autorisés et à la stratégie d'utilisateur gérée.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "codeartifact:CreateRepository", "Resource": "*", "Condition": { "Null": { "aws:RequestTag/costcenter": "true" } } }, { "Effect": "Deny", "Action": "codeartifact:CreateRepository", "Resource": "*", "Condition": { "ForAnyValue:StringNotEquals": { "aws:RequestTag/costcenter": [ "1", "2" ] } } } ] }
Exemple 2 : Limiter les actions en fonction des balises de ressource
La stratégie utilisateur gérée AWSCodeArtifactAdminAccess fournit aux utilisateurs les autorisations complètes nécessaires pour effectuer une action CodeArtifact sur une ressource.
La stratégie suivante refuse aux utilisateurs non autorisés l'autorisation d'effectuer des balises de domaines spécifiques. Pour ce faire, elle refuse certaines actions si la ressource possède une balise nommée Key1 avec une valeur Value1 ou Value2. (La clé de condition aws:ResourceTag est utilisée pour contrôler l'accès aux ressources en fonction des balises sur ces ressources.) L'administrateur d'un client peut attacher cette stratégie IAM aux utilisateurs IAM non autorisés et à la stratégie d'utilisateur gérée.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "codeartifact:TagResource", "codeartifact:UntagResource", "codeartifact:DescribeDomain", "codeartifact:DescribeRepository", "codeartifact:PutDomainPermissionsPolicy", "codeartifact:PutRepositoryPermissionsPolicy", "codeartifact:ListRepositoriesInDomain", "codeartifact:UpdateRepository", "codeartifact:ReadFromRepository", "codeartifact:ListPackages", "codeartifact:ListTagsForResource" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceTag/Key1": ["Value1", "Value2"] } } } ] }
Exemple 3 : Limiter les balises de ressource de balises de ressource de balises de ressource de
La stratégie suivante accorde aux utilisateurs l'autorisation d'effectuer des balises et de balises et d'y obtenir des informations sur les balises et les balises dans les balises et les balises dans les balises et les balises dans les balises et balises dans CodeArtifact
Pour ce faire, il autorise les balises avec la valeur dans le référentiel a une balise nommée Key1 avec la valeurValue1. (La clé de condition aws:RequestTag est utilisée pour contrôler les balises qui peuvent être transmises dans une demande IAM.) La condition aws:TagKeys garantit que la clé de balise est sensible à la casse. Cette stratégie est utile pour les utilisateurs IAM auxquels la stratégie utilisateur gérée AWSCodeArtifactAdminAccess n'est pas attachée. La stratégie gérée illimitée fournit aux utilisateurs les autorisations nécessaires pour effectuer une action CodeArtifact sur une ressource.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "codeartifact:UpdateRepository", "codeartifact:DeleteRepository", "codeartifact:ListPackages" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceTag/Key1": "Value1" } } } ] }
Exemple 4 : Limiter les balises dans la demande dans la demande dans la demande de balises dans la demande de
La stratégie suivante accorde aux utilisateurs des balises dans les domaines spécifiques dansCodeArtifact.
Pour ce faire, elle autorise les TagResource actions CreateRepository et si l'API de création de ressource spécifiée dans la demande une balise nommée Key1 avec la valeurValue1. (La clé de condition aws:RequestTag est utilisée pour contrôler les balises qui peuvent être transmises dans une demande IAM.) La condition aws:TagKeys garantit que la clé de balise est sensible à la casse. Cette stratégie est utile pour les utilisateurs IAM auxquels la stratégie utilisateur gérée AWSCodeArtifactAdminAccess n'est pas attachée. La stratégie gérée illimitée fournit aux utilisateurs les autorisations nécessaires pour effectuer une action CodeArtifact sur une ressource.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "codeartifact:CreateRepository", "codeartifact:TagResource" ], "Resource": "*", "Condition": { "StringEquals": { "aws:RequestTag/Key1": "Value1" } } } ] }
