Menggunakan tag untuk mengontrol akses ke sumber Elastic Beanstalk - AWS Elastic Beanstalk

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menggunakan tag untuk mengontrol akses ke sumber Elastic Beanstalk

Kondisi di pernyataan kebijakan pengguna AWS Identity and Access Management (IAM) adalah bagian dari sintaks yang Anda gunakan untuk menentukan izin untuk sumber daya yang tindakan Elastic Beanstalk perlu selesaikan. Untuk detail tentang menentukan syarat pernyataan kebijakan, lihat Sumber daya dan kondisi untuk tindakan Elastic Beanstalk. Menggunakan tanda dalam kondisi adalah salah satu cara untuk mengontrol akses ke sumber daya dan permintaan. Untuk informasi tentang pemberian tag sumber Elastic Beanstalk, lihat Pelabelan sumber daya aplikasi Elastic Beanstalk. Topik ini membahas kontrol akses berbasis tag.

Saat merancang kebijakan IAM, Anda mungkin menetapkan izin terperinci dengan memberikan akses ke sumber daya tertentu. Saat jumlah sumber daya yang Anda kelola bertambah, tugas ini menjadi lebih sulit. Menandai sumber daya dan menggunakan tanda dalam kondisi pernyataan kebijakan dapat mempermudah tugas ini. Anda memberikan akses secara massal ke sumber daya dengan tag tertentu. Kemudian Anda menerapkan tag ini berulang kali ke sumber daya yang relevan, selama pembuatan atau yang lebih baru.

Tag dapat dilampirkan ke sumber daya atau diteruskan atas permintaan ke layanan yang mendukung penandaan. Di Elastic Beanstalk, sumber daya dapat memiliki tag, dan beberapa tindakan dapat mencakup tag. Saat membuat kebijakan IAM, Anda dapat menggunakan kunci kondisi tag untuk mengontrol:

  • Manakah pengguna yang dapat melakukan tindakan pada distribusi, berdasarkan tag yang telah dimiliki.

  • Tag apa yang dapat diteruskan dalam permintaan tindakan.

  • Apakah kunci tag tertentu dapat digunakan dalam permintaan.

Untuk sintaksis dan semantik kunci syarat tag yang lengkap, lihat Akses Kontrol Menggunakan Tag dalam Panduan Pengguna IAM.

Contoh berikut ini mendemosntrasikan cara menentukan syarat tag dalam kebijakan bagi pengguna Elastic Beanstalk.

contoh 1: Batasi tindakan berdasarkan tanda dalam permintaan

Pohon Kacang Elastic BeanstalkAdministratorAccess-AWSElasticBeanstalkKebijakan pengguna terkelola memberikan pengguna izin tak terbatas untuk melakukan tindakan Elastic Beanstalk pada sumber daya yang dikelola Elastic Beanstalk.

Kebijakan berikut membatasi kekuatan ini dan menolak izin pengguna yang tidak sah untuk membuat lingkungan produksi Elastic Beanstalk. Untuk melakukan itu, ia menolak tindakan CreateEnvironment jika permintaan menentukan tag bernama stage dengan salah satu nilai gamma atau prod. Selain itu, kebijakan ini mencegah pengguna yang tidak berwenang merusak tahap lingkungan produksi dengan tidak mengizinkan tindakan modifikasi tag untuk memasukkan nilai tag yang sama ini atau sepenuhnya menghapus tag stage. Administrator pelanggan harus melampirkan kebijakan IAM ini kepada pengguna IAM yang tidak sah, selain kebijakan pengguna yang dikelola.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": [
        "elasticbeanstalk:CreateEnvironment",
        "elasticbeanstalk:AddTags"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:RequestTag/stage": ["gamma", "prod"]
        }
      }
    },
    {
      "Effect": "Deny",
      "Action": [
        "elasticbeanstalk:RemoveTags"
      ],
      "Resource": "*",
      "Condition": {
        "ForAnyValue:StringEquals": {
          "aws:TagKeys": ["stage"]
        }
      }
    }
  ]
}
contoh 2: Batasi tindakan berdasarkan tag sumber daya

Pohon Kacang Elastic BeanstalkAdministratorAccess-AWSElasticBeanstalkKebijakan pengguna terkelola memberikan pengguna izin tak terbatas untuk melakukan tindakan Elastic Beanstalk pada sumber daya yang dikelola Elastic Beanstalk.

Kebijakan berikut membatasi kekuatan ini dan menolak izin pengguna yang tidak sah untuk melakukan tindakan pada lingkungan produksi Elastic Beanstalk. Untuk melakukan itu, ia menyangkal tindakan tertentu jika lingkungan memiliki tag bernama stage dengan salah satu nilai gamma atau prod. Administrator pelanggan harus melampirkan kebijakan IAM ini kepada pengguna IAM yang tidak sah, selain kebijakan pengguna terkelola.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": [
        "elasticbeanstalk:AddTags",
        "elasticbeanstalk:RemoveTags",
        "elasticbeanstalk:DescribeEnvironments",
        "elasticbeanstalk:TerminateEnvironment",
        "elasticbeanstalk:UpdateEnvironment",
        "elasticbeanstalk:ListTagsForResource"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:ResourceTag/stage": ["gamma", "prod"]
        }
      }
    }
  ]
}
contoh 3: Izinkan tindakan berdasarkan tanda dalam permintaan

Kebijakan berikut memberikan izin pengguna untuk membuat aplikasi pengembangan Elastic Beanstalk.

Untuk melakukan itu, memungkinkan tindakan CreateApplication dan AddTags jika permintaan menentukan tag bernama stage dengan nilai development. Syarat aws:TagKeys memastikan bahwa pengguna tidak dapat menambahkan kunci tag lainnya. Secara khusus, memastikan sensitivitas kasus kunci tag stage. Perhatikan bahwa kebijakan ini berguna bagi pengguna IAM yang tidak memiliki Elastic BeanstalkAdministratorAccess-AWSElasticBeanstalkkebijakan pengguna terkelola dilampirkan. Kebijakan yang terkelola memberikan pengguna izin tak terbatas untuk melakukan tindakan Elastic Beanstalk pada sumber daya yang dikelola Elastic Beanstalk.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "elasticbeanstalk:CreateApplication",
        "elasticbeanstalk:AddTags"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:RequestTag/stage": "development"
        },
        "ForAllValues:StringEquals": {
          "aws:TagKeys": ["stage"]
        }
      }
    }
  ]
}
contoh 4: Izinkan tindakan berdasarkan tag sumber daya

Kebijakan berikut memberikan pengguna izin untuk melakukan tindakan, dan mendapatkan informasi tentang, aplikasi pengembangan Elastic Beanstalk.

Untuk melakukan itu, memungkinkan tindakan tertentu jika aplikasi memiliki tag bernama stage dengan nilai development. Syarat aws:TagKeys memastikan bahwa pengguna tidak dapat menambahkan kunci tag lainnya. Secara khusus, memastikan sensitivitas kasus kunci tag stage. Perhatikan bahwa kebijakan ini berguna bagi pengguna IAM yang tidak memiliki Elastic BeanstalkAdministratorAccess-AWSElasticBeanstalkkebijakan pengguna terkelola dilampirkan. Kebijakan yang terkelola memberikan pengguna izin tak terbatas untuk melakukan tindakan Elastic Beanstalk pada sumber daya yang dikelola Elastic Beanstalk.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "elasticbeanstalk:UpdateApplication",
        "elasticbeanstalk:DeleteApplication",
        "elasticbeanstalk:DescribeApplications"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:ResourceTag/stage": "development"
        },
        "ForAllValues:StringEquals": {
          "aws:TagKeys": ["stage"]
        }
      }
    }
  ]
}