Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Berikan izin untuk menandai EC2 sumber daya Amazon selama pembuatan
Beberapa tindakan EC2 API Amazon yang menciptakan sumber daya memungkinkan Anda menentukan tag saat membuat sumber daya. Anda dapat menggunakan tag sumber daya untuk menerapkan kontrol berbasis atribut ()ABAC. Untuk informasi selengkapnya, silakan lihat Tandai sumber daya Anda dan Kontrol akses menggunakan akses berbasis atribut.
Untuk memungkinkan para pengguna memberikan tanda pada sumber daya pada saat pembuatan, para pengguna tersebut harus memiliki izin untuk menggunakan tindakan-tindakan yang membuat sumber daya, seperti ec2:RunInstances
atau ec2:CreateVolume
. Jika tanda-tanda ditentukan dalam tindakan yang digunakan untuk membuat sumber daya, maka Amazon akan melakukan otorisasi tambahan pada tindakan ec2:CreateTags
untuk melakukan verifikasi apakah pengguna memiliki izin untuk membuat tanda. Oleh karena itu, para pengguna juga harus memiliki izin eksplisit untuk menggunakan tindakan ec2:CreateTags
.
Dalam definisi IAM kebijakan untuk ec2:CreateTags
tindakan, gunakan Condition
elemen dengan kunci ec2:CreateAction
kondisi untuk memberikan izin penandaan pada tindakan yang membuat sumber daya.
Contoh berikut ini mendemonstrasikan kebijakan yang memungkinkan para pengguna untuk meluncurkan instans dan menerapkan tanda apa pun pada instans dan volume saat dilakukan peluncuran. Pengguna tidak diizinkan untuk menandai sumber daya yang sudah ada (mereka tidak dapat memanggil tindakan ec2:CreateTags
secara langsung).
{ "Statement": [ { "Effect": "Allow", "Action": [ "ec2:RunInstances" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ec2:CreateTags" ], "Resource": "arn:aws:ec2:region:account:*/*", "Condition": { "StringEquals": { "ec2:CreateAction" : "RunInstances" } } } ] }
Demikian pula, kebijakan berikut memungkinkan para pengguna untuk membuat volume dan menerapkan tanda apa pun pada volume saat volume dibuat. Para pengguna tidak diizinkan untuk memberi tanda pada sumber daya yang sudah ada (mereka tidak dapat memerintahkan tindakan ec2:CreateTags
secara langsung).
{ "Statement": [ { "Effect": "Allow", "Action": [ "ec2:CreateVolume" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ec2:CreateTags" ], "Resource": "arn:aws:ec2:region:account:*/*", "Condition": { "StringEquals": { "ec2:CreateAction" : "CreateVolume" } } } ] }
Tindakan ec2:CreateTags
akan dievaluasi hanya jika tanda diterapkan selama tindakan pembuatan sumber daya. Oleh karena itu, seorang pengguna yang memiliki izin untuk membuat sumber daya (dengan asumsi tidak ada syarat untuk pemberian tanda) tidak memerlukan izin untuk menggunakan tindakan ec2:CreateTags
jika tidak ada tanda yang ditentukan dalam permintaan. Akan tetapi, jika pengguna tersebut mencoba untuk membuat sumber daya dengan tanda, maka permintaan akan gagal jika pengguna tidak memiliki izin untuk menggunakan tindakan ec2:CreateTags
.
Tindakan ec2:CreateTags
juga akan dievaluasi jika tanda disediakan dalam templat peluncuran. Untuk melihat contoh kebijakan IAM, lihat Tanda di templat peluncuran.
Mengendalikan akses ke tanda-tanda tertentu
Anda dapat menggunakan kondisi tambahan dalam Condition
elemen IAM kebijakan Anda untuk mengontrol kunci tag dan nilai yang dapat diterapkan ke sumber daya.
Kunci syarat berikut dapat digunakan dengan contoh-contoh pada bagian sebelumnya:
-
aws:RequestTag
: Untuk mengindikasikan bahwa kunci tanda tertentu atau kunci dan nilai tanda tertentu harus ada di permintaan. Tanda-tanda yang lain juga dapat ditentukan dalam permintaan.-
Gunakan bersama dengan operator syarat
StringEquals
untuk memberlakukan kombinasi kunci dan nilai tanda tertentu, misalnya, untuk memberlakukan tandacost-center
=cc123
:"StringEquals": { "aws:RequestTag/cost-center": "cc123" }
-
Gunakan bersama dengan operator syarat
StringLike
untuk memberlakukan kunci tanda tertentu dalam permintaan, misalnya, untuk memberlakukan kunci tandapurpose
:"StringLike": { "aws:RequestTag/purpose": "*" }
-
-
aws:TagKeys
: Untuk memberlakukan kunci tanda yang digunakan dalam permintaan.-
Gunakan bersama dengan pemodifikasi
ForAllValues
untuk menerapkan kunci tanda tertentu jika disediakan dalam permintaan (jika tanda ditentukan dalam permintaan, hanya kunci tanda tertentu saja yang diperbolehkan; tidak ada tanda lain yang diperbolehkan). Sebagai contoh, kunci tandaenvironment
ataucost-center
diperbolehkan:"ForAllValues:StringEquals": { "aws:TagKeys": ["environment","cost-center"] }
-
Gunakan pemodifikasi
ForAnyValue
untuk memaksakan keberadaan setidaknya salah satu kunci tanda tertentu dalam permintaan. Sebagai contoh, setidaknya salah satu kunci tandaenvironment
atauwebserver
harus ada dalam permintaan:"ForAnyValue:StringEquals": { "aws:TagKeys": ["environment","webserver"] }
-
Kunci syarat ini dapat diterapkan untuk tindakan-tindakan yang digunakan untuk membuat sumber daya yang mendukung pemberian tanda, serta tindakan ec2:CreateTags
dan ec2:DeleteTags
. Untuk mengetahui apakah EC2 API tindakan Amazon mendukung penandaan, lihat Tindakan, sumber daya, dan kunci kondisi untuk Amazon EC2.
Untuk memaksa para pengguna menentukan tanda pada saat mereka membuat sumber daya, Anda harus menggunakan kunci syarat aws:RequestTag
atau kunci syarat aws:TagKeys
dengan pemodifikasi ForAnyValue
pada tindakan yang digunakan untuk membuat sumber daya. Tindakan ec2:CreateTags
tidak akan dievaluasi jika pengguna tidak menentukan tanda untuk tindakan yang digunakan untuk pembuatan sumber daya.
Untuk syarat, kunci syarat tidak bersifat peka terhadap huruf besar dan kecil dan nilai syarat bersifat peka huruf besar dan kecil. Oleh karena itu, untuk memaksakan sifat peka terhadap huruf besar atau kecil dari kunci tanda, gunakan kunci syarat aws:TagKeys
, di mana kunci tanda ditetapkan sebagai nilai dalam syarat tersebut.
Misalnya IAM kebijakan, lihatContoh kebijakan untuk mengontrol akses Amazon EC2 API. Untuk informasi selengkapnya, lihat Ketentuan dengan beberapa kunci konteks atau nilai dalam Panduan IAM Pengguna.