Utilizzo dei tag con policy IAM - Integrazioni gestite per AWS IoT Device Management

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Utilizzo dei tag con policy IAM

Puoi applicare autorizzazioni a livello di risorsa basate su tag nelle policy IAM che utilizzi per le azioni API di integrazione gestita. In questo modo è possibile controllare meglio le risorse che un utente può creare, modificare o utilizzare. Puoi utilizzare l'elemento Condition (denominato anche blocco Condition) con i seguenti valori e chiavi di contesto di condizione in una policy IAM per controllare l'accesso dell'utente (autorizzazione) in base ai tag della risorsa:

  • Utilizza aws:ResourceTag/tag-key: tag-value per concedere o negare agli utenti operazioni su risorse con specifici tag.

  • Utilizza aws:RequestTag/tag-key: tag-value per richiedere che un tag specifico venga utilizzato (o non utilizzato) durante la creazione di una richiesta API per creare o modificare una risorsa che abilita i tag.

  • Utilizza aws:TagKeys: [tag-key, ...] per richiedere che un set di tag specifico venga utilizzato (o non utilizzato) durante la creazione di una richiesta API per creare o modificare una risorsa che abilita i tag.

Nota

Le chiavi e i valori del contesto delle condizioni in una policy IAM si applicano solo a quelle azioni di integrazione gestite in cui un identificatore per una risorsa che può essere taggata è un parametro obbligatorio. Ad esempio, l'uso di non GetCustomEndpointè consentito o negato sulla base delle chiavi e dei valori del contesto delle condizioni perché in questa richiesta non viene fatto riferimento a nessuna risorsa etichettabile (oggetti gestiti, profili di provisioning, credenziali locker, over-the-air attività). Per ulteriori informazioni sulle integrazioni gestite, sulle risorse taggabili e sulle chiavi di condizione supportate, leggi la funzionalità Azioni, risorse e chiavi di condizione per le integrazioni gestite di. AWS IoT AWS IoT Device Management

Per ulteriori informazioni sull'utilizzo dei tag, consulta Controllo degli accessi tramite tag nella Guida per l'utente di AWS Identity and Access Management . La sezione relativa al riferimento alle policy JSON IAM della guida ha una sintassi dettagliata, descrizioni ed esempi di elementi, variabili e logica di valutazione delle policy JSON in IAM.

La seguente politica di esempio applica due restrizioni basate su tag per l'azione. CreateManagedThing Un utente IAM limitato da questa policy:

  • Impossibile creare un oggetto gestito con il tag «env=prod» (nell'esempio, vedi la riga). "aws:RequestTag/env" : "prod"

  • Impossibile modificare o accedere a un oggetto gestito che ha un tag esistente «env=prod» (nell'esempio, vedi la riga). "aws:ResourceTag/env" : "prod"

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": "iotmanagedintegrations:CreateManagedThing",
      "Resource": "arn:aws:iotmanagedintegrations:${Region}:${Account}:managed-thing/*",
      "Condition": {
        "StringEquals": {
          "aws:RequestTag/env": "prod"
        }
      }
    },
    {
      "Effect": "Deny",
      "Action": [
        "iotmanagedintegrations:CreateManagedThing",
        "iotmanagedintegrations:DeleteManagedThing",
        "iotmanagedintegrations:GetManagedThing",
        "iotmanagedintegrations:UpdateManagedThing"
      ],
      "Resource": "arn:aws:iotmanagedintegrations:${Region}:${Account}:managed-thing/*",
      "Condition": {
        "StringEquals": {
          "aws:ResourceTag/env": "prod"
        }
      }
    },
    {
      "Effect": "Allow",
      "Action": [
        "iotmanagedintegrations:CreateManagedThing",
        "iotmanagedintegrations:DeleteManagedThing",
        "iotmanagedintegrations:GetManagedThing",
        "iotmanagedintegrations:UpdateManagedThing"
      ],
      "Resource": "*"
    }
  ]
}

È anche possibile specificare più valori di tag per una determinata chiave tag racchiudendoli in un elenco, come segue: 


            "StringEquals" : {
              "aws:ResourceTag/env" : ["dev", "test"]
            }
Nota

Se consenti o neghi a un utente l'accesso a risorse in base ai tag, devi considerare esplicitamente di negare agli utenti la possibilità di aggiungere o rimuovere tali tag dalle stesse risorse. In caso contrario, un utente può eludere le restrizioni e ottenere l'accesso a una risorsa modificandone i tag.