Seleziona le tue preferenze relative ai cookie

Utilizziamo cookie essenziali e strumenti simili necessari per fornire il nostro sito e i nostri servizi. Utilizziamo i cookie prestazionali per raccogliere statistiche anonime in modo da poter capire come i clienti utilizzano il nostro sito e apportare miglioramenti. I cookie essenziali non possono essere disattivati, ma puoi fare clic su \"Personalizza\" o \"Rifiuta\" per rifiutare i cookie prestazionali.

Se sei d'accordo, AWS e le terze parti approvate utilizzeranno i cookie anche per fornire utili funzionalità del sito, ricordare le tue preferenze e visualizzare contenuti pertinenti, inclusa la pubblicità pertinente. Per continuare senza accettare questi cookie, fai clic su \"Continua\" o \"Rifiuta\". Per effettuare scelte più dettagliate o saperne di più, fai clic su \"Personalizza\".

Preferenze
Contattaci
Feedback
AWS Documentation
Crea un Account AWS

Concedi l'autorizzazione a taggare EC2 le risorse Amazon durante la creazione

PDF
RSS
Modalità Focus
Concedi l'autorizzazione a taggare EC2 le risorse Amazon durante la creazione - Amazon Elastic Compute Cloud
Controllo dell'accesso a tag specifici

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Alcune azioni EC2 Amazon API per la creazione di risorse ti consentono di specificare i tag quando crei la risorsa. È possibile utilizzare i tag delle risorse per implementare il controllo basato sugli attributi (ABAC). Per ulteriori informazioni, consulta Assegnazione di tag alle risorse e Controllare l'accesso mediante l'accesso basato sugli attributi.

Per consentire agli utenti di applicare tag alle risorse durante la creazione, essi devono disporre delle autorizzazioni per utilizzare l'operazione che crea la risorsa, come ec2:RunInstances o ec2:CreateVolume. Se i tag vengono specificati nell'azione di creazione delle risorse, Amazon esegue autorizzazioni aggiuntive per l'azione ec2:CreateTags per verificare se gli utenti dispongono delle autorizzazioni per creare tag. Pertanto, gli utenti devono disporre anche delle autorizzazioni esplicite per utilizzare l'operazione ec2:CreateTags.

Nella definizione della policy IAM per l'operazione ec2:CreateTags, utilizzare l'elemento Condition con la chiave di condizione ec2:CreateAction per assegnare autorizzazioni di tagging all'operazione che crea la risorsa.

Ad esempio, la seguente policy consente gli utenti di avviare istanze e applicare tag a istanze e volumi durante l'avvio. Gli utenti non sono autorizzati ad applicare tag alle risorse esistenti (non possono chiamare l'operazione ec2:CreateTags direttamente).

{
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
         "ec2:RunInstances"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
         "ec2:CreateTags"
      ],
      "Resource": "arn:aws:ec2:region:account:*/*",
      "Condition": {
         "StringEquals": {
             "ec2:CreateAction" : "RunInstances"
          }
       }
    }
  ]
}

In modo analogo, la seguente policy consente gli utenti di creare volumi e applicare tag a tali volumi durante la creazione dei volumi stessi. Gli utenti non sono autorizzati ad applicare tag alle risorse esistenti (non possono chiamare l'operazione ec2:CreateTags direttamente).

{
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
         "ec2:CreateVolume"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
         "ec2:CreateTags"
      ],
      "Resource": "arn:aws:ec2:region:account:*/*",
      "Condition": {
         "StringEquals": {
             "ec2:CreateAction" : "CreateVolume"
          }
       }
    }
  ]
}

L'operazione ec2:CreateTags viene valutata solo se i tag vengono applicati durante l'operazione di creazione di risorse. Pertanto, un utente con le autorizzazioni per la creazione di una risorsa (presupponendo che non siano presenti condizioni di assegnazione di tag) non necessità delle autorizzazioni per utilizzare l'operazione ec2:CreateTags se nella richiesta non viene specificato alcun tag. Tuttavia, se l'utente tenta di creare una risorsa con tag, la richiesta ha esito negativo se non dispone delle autorizzazioni per utilizzare l'operazione ec2:CreateTags.

L'operazione ec2:CreateTags viene valutata anche se i tag sono forniti in un modello di avvio. Per un esempio di policy, consulta Tag in un modello di avvio.

Controllo dell'accesso a tag specifici

È possibile utilizzare condizioni aggiuntive nell'elemento Condition delle policy IAM per controllare le chiavi dei tag e i valori che possono essere applicati alle risorse.

Le seguenti chiavi di condizione possono essere utilizzate con gli esempi nella sezione precedente:

  • aws:RequestTag: indica che una chiave di tag o una chiave e un valore di tag sono presenti in una richiesta. Anche gli altri tag devono essere specificati nella richiesta.

    • Da utilizzare assieme all'operatore di condizione StringEquals per applicare una combinazione specifica di chiave e valore di tag, ad esempio per applicare il tag cost-center=cc123:

      "StringEquals": { "aws:RequestTag/cost-center": "cc123" }

    • Da utilizzare assieme all'operatore di condizione StringLike per applicare una chiave di tag specifica nella richiesta, ad esempio per applicare la chiave di tag purpose:

      "StringLike": { "aws:RequestTag/purpose": "*" }

  • aws:TagKeys: applica le chiavi di tag utilizzate nella richiesta.

    • Da utilizzare assieme al modificatore ForAllValues per applicare chiavi di tag specifiche se vengono fornite nella richiesta (se i tag vengono specificati nella richiesta, solo le chiavi di tag specifiche sono consentite; non sono consentiti altri tag). Ad esempio, la chiave di tag environment o cost-center è consentita:

      "ForAllValues:StringEquals": { "aws:TagKeys": ["environment","cost-center"] }

    • Da utilizzare assieme al modificatore ForAnyValue per implementare la presenza di almeno una delle chiavi di tag specificate nella richiesta. Ad esempio, nella richiesta deve essere presente almeno una delle chiavi di tag environment o webserver:

      "ForAnyValue:StringEquals": { "aws:TagKeys": ["environment","webserver"] }

Queste chiavi di condizione possono essere applicate alle operazioni di creazione delle risorse che supportano il tagging, nonché alle operazioni ec2:CreateTags ed ec2:DeleteTags. Per sapere se un'azione dell' EC2 API Amazon supporta il tagging, consulta Azioni, risorse e chiavi di condizione per Amazon EC2.

Per obbligare gli utenti a specificare i tag quando creano una risorsa, devi utilizzare la chiave di condizione aws:RequestTag o aws:TagKeys con il modificatore ForAnyValue nell'operazione di creazione delle risorse. L'operazione ec2:CreateTags non viene valutata se un utente non specifica i tag per l'operazione di creazione delle risorse.

Per le condizioni, la chiave di condizione non fa distinzione tra maiuscole e minuscole, mentre il valore della condizione fa distinzione tra maiuscole e minuscole. Pertanto, per applicare la distinzione tra maiuscole e minuscole per una chiave di tag, utilizza la chiave di condizione aws:TagKeys, specificando la chiave di tag come valore nella condizione.

Per esempi di policy IAM, consulta Esempi di politiche per controllare l'accesso all' EC2 API Amazon. Per ulteriori informazioni, consulta Condizioni con più chiavi o valori contestuali nella Guida per l'utente IAM.

In questa pagina

Related resources

Guida ai tipi di EC2 istanze Amazon
Guida per l'utente di Amazon EBS
Guida per EC2 sviluppatori Amazon

Related resources

Guida ai tipi di EC2 istanze Amazon
Guida per l'utente di Amazon EBS
Guida per EC2 sviluppatori Amazon
PrivacyCondizioni del sitoPreferenze cookie
© 2025, Amazon Web Services, Inc. o società affiliate. Tutti i diritti riservati.