Utilizzo dei tag per controllare l'accesso alle risorse di connessione dell'account - Amazon CodeCatalyst
Esempio 1: consenti azioni basate sui tag nella richiestaEsempio 2: consenti azioni basate sui tag delle risorse

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Utilizzo dei tag per controllare l'accesso alle risorse di connessione dell'account

I tag possono essere allegati alla risorsa o passati nella richiesta ai servizi che supportano il tagging. Le risorse nelle politiche possono avere tag e alcune azioni nelle politiche possono includere tag. Le chiavi di condizione per l'etichettatura includono le chiavi di aws:ResourceTag condizione aws:RequestTag e. Quando si crea una policy IAM, è possibile utilizzare le chiavi di condizione di tag per controllare:

  • Quali utenti possono eseguire azioni su una risorsa di connessione, in base ai tag già presenti.

  • Quali tag possono essere passati in una richiesta di operazione.

  • Se delle chiavi di tag specifiche possono essere utilizzate in una richiesta.

Gli esempi seguenti mostrano come specificare le condizioni dei tag nelle politiche per gli utenti che utilizzano le connessioni degli CodeCatalyst account. Per ulteriori informazioni su queste chiavi di condizione, consulta Chiavi relative alle condizioni delle politiche in IAM.

Esempio 1: consenti azioni basate sui tag nella richiesta

La seguente politica concede agli utenti l'autorizzazione ad approvare le connessioni all'account.

A questo scopo, consente le operazioni AcceptConnectione TagResource se la richiesta specifica un tag denominato Project con il valore ProjectA. La chiave di condizione aws:RequestTag viene utilizzata per controllare quali tag possono essere passati in una richiesta IAM. La condizione aws:TagKeys garantisce che la chiave tag rileva la distinzione tra maiuscole e minuscole.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "codecatalyst:AcceptConnection",
        "codecatalyst:TagResource"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:RequestTag/Project": "ProjectA"
        },
        "ForAllValues:StringEquals": {
          "aws:TagKeys": ["Project"]
        }
      }
    }
  ]
}

Esempio 2: consenti azioni basate sui tag delle risorse

La seguente politica concede agli utenti il permesso di eseguire azioni sulle risorse di connessione all'account e ottenere informazioni sulle stesse.

A tal fine, consente azioni specifiche se la connessione ha un tag denominato Project con lo stesso valoreProjectA. La chiave di condizione aws:ResourceTag viene utilizzata per controllare quali tag possono essere passati in una richiesta IAM.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "codecatalyst:GetConnection",
        "codecatalyst:DeleteConnection",
        "codecatalyst:AssociateIamRoleToConnection",
        "codecatalyst:DisassociateIamRoleFromConnection",
        "codecatalyst:ListIamRolesForConnection",
        "codecatalyst:PutBillingAuthorization"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:ResourceTag/Project": "ProjectA"
        }
      }
    }
  ]
}