Pemberitahuan akhir dukungan: Pada 10 September 2025, AWS
akan menghentikan dukungan untuk. AWS RoboMaker Setelah 10 September 2025, Anda tidak akan lagi dapat mengakses AWS RoboMaker konsol atau AWS RoboMaker sumber daya. Untuk informasi lebih lanjut tentang transisi ke AWS Batch untuk membantu menjalankan simulasi kontainer, kunjungi posting blog ini.
Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Menggunakan tanda dengan kebijakan IAM
Anda dapat menerapkan izin tingkat sumber daya berbasis tanda dalam kebijakan IAyang Anda gunakan untuk tindakanAWS RoboMaker API. Hal ini memberi Anda kontrol yang lebih baik atas sumber daya yang dapat dibuat, dimodifikasi, atau digunakan oleh pengguna. Anda menggunakan elemen Condition (juga disebut blok Condition) dengan kunci konteks syarat berikut dan nilai-nilai dalam kebijakan IAM untuk mengontrol akses pengguna (izin) berdasarkan tanda sumber daya:
-
Gunakan
aws:ResourceTag/untuk mengharuskan atau menolak tindakan pengguna pada sumber daya dengan tanda tertentu.tag-key:tag-value -
Gunakan
aws:RequestTag/untuk mengharuskan penggunaan (atau tidak digunakan) saat membuat permintaan API agar membuat atau memodifikasi sumber daya yang mengizinkan tanda.tag-key:tag-value -
Gunakan
aws:TagKeys: [untuk mengharuskan penggunaan (atau tidak mengharuskan penggunaan) serangkaian kunci tertentu untuk digunakan (atau tidak digunakan) saat membuat permintaan API agar membuat atau memodifikasi sumber daya yang mengizinkan tanda.tag-key, ...]
catatan
Kunci dan nilai konteks syarat dalam kebijakan IAM hanya berlaku untuk tindakan AWS RoboMaker tersebut di mana pengidentifikasi untuk sumber daya yang dapat ditandai adalah parameter yang diperlukan. Misalnya, penggunaan tidak ListFleetsakan diizinkan atau ditolak berdasarkan kunci dan nilai konteks syarat karena tidak ada sumber daya yang dapat ditandai (armada, robot, aplikasi simulasi, tugas simulasi, tugas tugas) direferensikan dalam permintaan ini.
Untuk informasi selengkapnya, lihat Mengontrol akses keAWS sumber daya menggunakan tag di Panduan Pengguna AWS Identity and Access Management. Bagian Referensi kebijakan JSON IAM dari panduan tersebut menyajikan sintaks, deskripsi, dan contoh terperinci elemen, variabel, dan logika evaluasi kebijakan JSON di IAM.
Kebijakan contoh berikut memberlakukan dua pembatasan berbasis tanda. Pengguna IAM yang dibatasi oleh kebijakan ini:
-
Tidak dapat membuat robot dengan tag
"env=prod"(dalam contoh, lihat baris"aws:RequestTag/env" : "prod"). -
Tidak dapat menghapus robot yang memiliki tag yang ada
"env=prod"(dalam contoh, lihat baris"aws:ResourceTag/env" : "prod").
{ "Version" : "2012-10-17", "Statement" : [ { "Effect" : "Deny", "Action" : "robomaker:CreateRobot", "Resource" : "*", "Condition" : { "StringEquals" : { "aws:RequestTag/env" : "prod" } } }, { "Effect" : "Deny", "Action" : "robomaker:DeleteRobot", "Resource" : "*", "Condition" : { "StringEquals" : { "aws:ResourceTag/env" : "prod" } } }, { "Effect": "Allow", "Action": "robomaker:*", "Resource": "*" } ] }
Anda juga dapat menentukan beberapa nilai tanda untuk kunci yang diberikan dengan memasukkannya ke dalam daftar, seperti ini:
"StringEquals" : { "aws:ResourceTag/env" : ["dev", "test"] }
catatan
Jika Anda mengizinkan atau menolak akses para pengguna ke sumber daya berdasarkan tanda, maka Anda harus mempertimbangkan untuk menolak secara eksplisit memberikan kemampuan kepada pengguna untuk menambahkan atau menghapus tanda tersebut dari sumber daya yang sama. Jika tidak, pengguna dapat mengakali pembatasan Anda dan mendapatkan akses atas sumber daya dengan melakukan modifikasi pada tanda dari sumber daya tersebut.
