Menggunakan tag untuk mengontrol akses ke sumber daya koneksi akun - Amazon CodeCatalyst
Contoh 1: Izinkan tindakan berdasarkan tag dalam permintaanContoh 2: Izinkan tindakan berdasarkan tag sumber daya

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menggunakan tag untuk mengontrol akses ke sumber daya koneksi akun

Tag dapat dilampirkan ke sumber daya atau diteruskan dalam permintaan ke layanan yang mendukung penandaan. Sumber daya dalam kebijakan dapat memiliki tag, dan beberapa tindakan dalam kebijakan dapat menyertakan tag. Tombol kondisi penandaan termasuk kunci aws:ResourceTag kondisi aws:RequestTag dan. Saat membuat kebijakan IAM, Anda dapat menggunakan kunci syarat tanda berikut:

  • Pengguna mana yang dapat melakukan tindakan pada sumber daya koneksi, berdasarkan tag yang sudah dimilikinya.

  • Tanda apa yang dapat diteruskan dalam permintaan tindakan.

  • Apakah kunci tanda tertentu dapat digunakan dalam permintaan.

Contoh berikut menunjukkan cara menentukan kondisi tag dalam kebijakan untuk pengguna koneksi CodeCatalyst akun. Untuk informasi lebih lanjut tentang kunci syarat ini, lihat Kunci kondisi kebijakan di IAM.

Contoh 1: Izinkan tindakan berdasarkan tag dalam permintaan

Kebijakan berikut memberikan izin kepada pengguna untuk menyetujui koneksi akun.

Untuk melakukan itu, memungkinkan tindakan AcceptConnection dan TagResource jika permintaan menentukan tag bernama Project dengan nilai ProjectA. (Kunci syarat aws:RequestTag digunakan untuk mengontrol tanda yang dapat dilewatkan dalam permintaan IAM.) Syarat aws:TagKeys memastikan kunci tanda peka huruf besar dan kecil.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "codecatalyst:AcceptConnection",
        "codecatalyst:TagResource"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:RequestTag/Project": "ProjectA"
        },
        "ForAllValues:StringEquals": {
          "aws:TagKeys": ["Project"]
        }
      }
    }
  ]
}

Contoh 2: Izinkan tindakan berdasarkan tag sumber daya

Kebijakan berikut memberi pengguna izin untuk melakukan tindakan pada, dan mendapatkan informasi tentang, sumber daya koneksi akun.

Untuk melakukan itu, ini memungkinkan tindakan tertentu jika koneksi memiliki tag bernama Project dengan nilaiProjectA. (Kunci syarat aws:ResourceTag digunakan untuk mengontrol tanda yang dapat diteruskan dalam permintaan IAM.)

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "codecatalyst:GetConnection",
        "codecatalyst:DeleteConnection",
        "codecatalyst:AssociateIamRoleToConnection",
        "codecatalyst:DisassociateIamRoleFromConnection",
        "codecatalyst:ListIamRolesForConnection",
        "codecatalyst:PutBillingAuthorization"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:ResourceTag/Project": "ProjectA"
        }
      }
    }
  ]
}