Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
L'ajout d'balises aux vues
Vous pouvez ajouter des balises à vos vues afin de les classer. Les balises sont des métadonnées fournies par le client qui prennent la forme d'une chaîne de nom de clé et d'une chaîne de valeur facultative associée. Pour des informations générales sur le balisageAWS des ressources, consultez la section MarquageAWS des ressources dans le Référence générale d'Amazon Web Services.
Ajoutez des balises à vos vues
Vous pouvez ajouter des balises à vos vues de l'Explorateur de ressources en utilisantAWS Management Console ou en exécutant desAWS CLI commandes ou leurs opérations d'API équivalentes dans unAWS SDK.
Contrôle des autorisations à l'aide de balises
L'une des principales utilisations du balisage est de soutenir une stratégie de contrôle d'accès basé sur les attributs (ABAC). ABAC peut vous aider à simplifier la gestion des autorisations en vous permettant de baliser les ressources. Ensuite, vous accordez l'autorisation aux utilisateurs d'accéder aux ressources qui sont balisées d'une certaine manière.
Par exemple, envisagez ce scénario. Pour une vue appeléeViewA, vous attachez la baliseenvironment=prod (nom de la clé = valeur). Un autreViewB pourrait être marquéenvironment=beta. Vous balisez vos rôles et vos utilisateurs avec les mêmes balises et valeurs, en fonction de l'environnement auquel chaque rôle ou utilisateur doit pouvoir accéder.
Vous pouvez ensuite attribuer une politique d'autorisationAWS Identity and Access Management (IAM) à vos rôles, groupes et utilisateurs IAM. La politique autorise l'accès et la recherche à l'aide d'une vue uniquement si le rôle ou l'utilisateur à l'origine de la demande de recherche possède uneenvironment étiquette ayant la même valeur que laenvironment balise associée à la vue.
L'avantage de cette approche est qu'elle est dynamique et qu'elle ne vous oblige pas à tenir à jour une liste indiquant qui a accès à quelles ressources. Vous devez plutôt vous assurer que toutes les ressources (vos points de vue) et les principaux (rôles IAM et utilisateurs) sont correctement balisés. Ensuite, les autorisations sont mises à jour automatiquement sans que vous ayez à modifier les politiques.
Référencer des balises dans une politique ABAC
Une fois vos vues balisées, vous pouvez choisir d'utiliser ces balises pour contrôler l'accès dynamique à ces vues. L'exemple de politique suivant part du principe que vos principes IAM et vos vues sont balisés à l'aide de la clé de baliseenvironment et d'une valeur. Une fois que c'est fait, vous pouvez attacher l'exemple de politique suivant à vos directives. Vos rôles et utilisateurs peuvent ensuiteSearch utiliser toutes les vues balisées avec une valeur deenvironment balise qui correspond exactement à laenvironment balise associée au principal.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "resource-explorer-2:GetView", "resource-explorer-2:Search" ], "Resource": "arn:aws:resource-explorer-2:us-east-1:123456789012:view/*", "Condition": { "ForAnyValue:StringEquals": { "aws:ResourceTag/environment": "${aws:PrincipalTag/environment}" } } } ] }
Si la balise est associée à la vue principale mais que les valeurs ne correspondent pas, ou si laenvironment balise est manquante dans l'une ou l'autre, l'environmentExplorateur de ressources refuse la demande de recherche.
Pour plus d'informations sur l'utilisation d'ABAC pour accorder un accès sécurisé à vos ressources, voir À quoi sert ABACAWS ?
