Avis de fin de support : le 10 septembre 2025, AWS
le support de AWS RoboMaker. Après le 10 septembre 2025, vous ne pourrez plus accéder à la AWS RoboMaker console ni aux AWS RoboMaker ressources. Pour plus d'informations sur la transition AWS Batch afin de faciliter l'exécution de simulations conteneurisées, consultez ce billet de blog.
Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Utilisation des balises avec des stratégies IAM
Vous pouvez appliquer des autorisations de niveau ressource basées sur des balises dans les stratégies IAM que vous utilisez pour les actions d'API AWS RoboMaker. Vous bénéficiez ainsi d'un meilleur contrôle sur les ressources qu'un utilisateur peut créer, modifier ou utiliser. Vous pouvez utiliser l'élément Condition (également appelé bloc Condition) avec les clés et valeurs de contexte de condition suivantes dans une stratégie IAM pour contrôler l'accès des utilisateurs (autorisations) en fonction des balises d'une ressource :
-
Utilisez
aws:ResourceTag/pour accorder ou refuser aux utilisateurs des actions sur des ressources ayant des balises spécifiques.tag-key:tag-value -
Utilisez
aws:RequestTag/pour exiger qu'une balise spécifique soit utilisée (ou ne soit pas utilisée) lorsque vous effectuez une demande d'API pour créer ou modifier une ressource qui autorise les balises.tag-key:tag-value -
Utilisez
aws:TagKeys: [pour exiger qu'un ensemble de clés de balise spécifique soit utilisé (ou ne soit pas utilisé) lorsque vous effectuez une demande d'API pour créer ou modifier une ressource qui autorise les balises.tag-key, ...]
Note
Les clés et les valeurs de contexte de condition dans une stratégie IAM s'appliquent uniquement aux actions AWS RoboMaker dans lesquelles un identifiant pour une ressource pouvant être balisée est un paramètre obligatoire. Par exemple, l'utilisation de ne ListFleetssera ni autorisée ni refusée sur la base de clés et de valeurs contextuelles conditionnelles, car aucune ressource taguable (flotte, robot, application robotique, application de simulation, tâche de déploiement) n'est référencée dans cette demande.
Pour de plus amples informations, veuillez consulter Contrôle de l'accès auxAWS ressources à l'aide de balises dans le Guide de l'utilisateur AWS Identity and Access Management. La section de référence des politiques JSON IAM de ce guide présente la syntaxe, les descriptions et des exemples détaillés des éléments, des variables et de la logique d'évaluation des politiques JSON dans IAM.
L'exemple de stratégie suivant applique deux restrictions basées sur des balises. Un utilisateur IAM restreint par cette stratégie :
-
Impossible de créer un robot avec une étiquette
"env=prod"(dans l'exemple, voir la ligne"aws:RequestTag/env" : "prod"). -
Impossible de supprimer un robot qui possède une étiquette existante
"env=prod"(dans l'exemple, voir la ligne"aws:ResourceTag/env" : "prod").
{ "Version" : "2012-10-17", "Statement" : [ { "Effect" : "Deny", "Action" : "robomaker:CreateRobot", "Resource" : "*", "Condition" : { "StringEquals" : { "aws:RequestTag/env" : "prod" } } }, { "Effect" : "Deny", "Action" : "robomaker:DeleteRobot", "Resource" : "*", "Condition" : { "StringEquals" : { "aws:ResourceTag/env" : "prod" } } }, { "Effect": "Allow", "Action": "robomaker:*", "Resource": "*" } ] }
Vous pouvez également spécifier plusieurs valeurs de balise pour une clé de balise donnée en les plaçant dans une liste, comme suit :
"StringEquals" : { "aws:ResourceTag/env" : ["dev", "test"] }
Note
Si vous autorisez ou refusez à des utilisateurs l'accès à des ressources en fonction de balises, vous devez envisager de refuser de manière explicite la possibilité pour les utilisateurs d'ajouter ces balises ou de les supprimer des mêmes ressources. Sinon, il sera possible pour un utilisateur de contourner vos restrictions et d'obtenir l'accès à une ressource en modifiant ses balises.
