Contrôlez l'accès aux ressources Lightsail à l'aide de balises - Amazon Lightsail
Étape 1 : créer une politique IAMÉtape 2 : Attacher la stratégie à des utilisateurs ou des groupes

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Contrôlez l'accès aux ressources Lightsail à l'aide de balises

Vous pouvez utiliser des balises dans Amazon Lightsail pour contrôler l'accès aux ressources, contrôler l'accès aux demandes et contrôler l'accès aux clés de balise. Dans ce guide, vous allez apprendre à créer une politique AWS Identity and Access Management (IAM) qui spécifie une balise clé-valeur requise pour créer ou supprimer des ressources Lightsail, et à associer la politique aux utilisateurs ou aux groupes qui doivent effectuer ces demandes.

Note

Pour en savoir plus sur les balises dans Lightsail, les ressources qui peuvent être balisées et les restrictions, consultez la section Balises.

Étape 1 : créer une politique IAM

Commencez par créer les politiques IAM suivantes dans la console IAM. Pour plus d'informations sur la création de politiques IAM, veuillez consulter Création de politiques IAM dans la documentation IAM.

La politique suivante interdit aux utilisateurs de créer de nouvelles ressources Lightsail à moins qu'un tag clé et une valeur allow de ne soient définis dans la true demande de création. Cette stratégie empêche également les utilisateurs de supprimer des ressources, sauf s'ils ont la balise clé-valeur allow/true.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "lightsail:Create*",
                "lightsail:TagResource",
                "lightsail:UntagResource"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:RequestTag/allow": "true"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "lightsail:Delete*",
                "lightsail:TagResource",
                "lightsail:UntagResource"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/allow": "true"
                }
            }
        }
    ]
}

La stratégie suivante empêche les utilisateurs de changer la balise pour les ressources qui ont une balise clé-valeur différente de allow/false.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "lightsail:TagResource"
            ],
            "Resource": "*",
            "Condition": {
                "StringNotEquals": {
                    "aws:ResourceTag/allow": "false"
                }
            }
        }
    ]
}

Étape 2 : Attacher la stratégie à des utilisateurs ou des groupes

Une fois que vous avez créé les stratégies IAM, attachez-les aux utilisateurs ou groupes qui ont besoin de créer des ressources Lightsail à l'aide de la paire clé-valeur. Pour plus d'informations sur l'attachement des stratégies IAM à des utilisateurs ou des groupes, consultez Ajout et suppression de stratégies IAM dans la documentation IAM.