IAM: creazione di nuovi utenti solo con tag specifici - AWS Identity and Access Management

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

IAM: creazione di nuovi utenti solo con tag specifici

Questo esempio mostra come creare una policy basata sull'identità che consenta la creazione di utenti IAM, ma solo con una o entrambe le chiavi di tag Department e JobFunction. La chiave di tag Department deve avere il valore di tag Development o QualityAssurance. La chiave di tag JobFunction deve avere il valore di tag Employee. È possibile usare questa policy per richiedere che i nuovi utenti dispongano di una mansione e un reparto specifici. Questa politica concede le autorizzazioni necessarie per completare questa azione a livello di codice dall'API o. AWS AWS CLI Per utilizzare questa policy, sostituisci il testo segnaposto in corsivo nella policy di esempio con le tue informazioni. Quindi, segui le indicazioni fornite in Creazione di una policy o Modifica di una policy.

La prima condizione nell'istruzione utilizza l'operatore di condizione StringEqualsIfExists. Se un tag con la chiave Department o JobFunction è presente nella richiesta, il tag deve avere il valore specificato. Se non è presente alcuna chiave, questa condizione viene valutata come true. La condizione viene valutata come false solo se una delle chiavi di condizione specificate è presente nella richiesta, ma ha un valore diverso da quelli consentiti. Per ulteriori informazioni sull'utilizzo di IfExists, consultare ... IfExists operatori di condizionamento.

La seconda condizione utilizza l'operatore di condizione ForAllValues:StringEquals. La condizione restituisce true se si verifica una corrispondenza tra ognuna delle chiavi di tag specificate nella richiesta e almeno un valore nella policy. Ciò significa che tutti i tag nella richiesta devono essere in questo elenco. Tuttavia, la richiesta può includere solo uno dei tag nell'elenco. Ad esempio, puoi creare un utente IAM con il solo tag Department=QualityAssurance. Tuttavia, non puoi creare un utente IAM con il tag JobFunction=employee e il tag Project=core. Per ulteriori informazioni sull'utilizzo di ForAllValues, consultare Chiavi di contesto multivalore.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "TagUsersWithOnlyTheseTags",
            "Effect": "Allow",
            "Action": [
                "iam:CreateUser",
                "iam:TagUser"
            ],
            "Resource": "*",
            "Condition": {
                "StringEqualsIfExists": {
                    "aws:RequestTag/Department": [
                        "Development",
                        "QualityAssurance"
                    ],
                    "aws:RequestTag/JobFunction": "Employee"
                },
                "ForAllValues:StringEquals": {
                    "aws:TagKeys": [
                        "Department",
                        "JobFunction"
                    ]
                }
            }
        }
    ]
}