Impostazione delle autorizzazioni - AWS Risorse per l'etichettatura e editor di tag
Autorizzazioni per singoli servizi Autorizzazioni necessarie per utilizzare la console Tag EditorConcessione delle autorizzazioni per l'utilizzo di Tag EditorAutorizzazione e controllo degli accessi basati sui tag

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Impostazione delle autorizzazioni

Per sfruttare appieno Tag Editor, potresti aver bisogno di autorizzazioni aggiuntive per etichettare le risorse o per visualizzare le chiavi e i valori dei tag di una risorsa. Queste autorizzazioni rientrano nelle seguenti categorie:

  • Autorizzazioni per servizi singoli, che consentono di applicare tag alle risorse da tali servizi e includerle in gruppi di risorse.

  • Autorizzazioni necessarie per utilizzare la console Tag Editor.

Se sei un amministratore, puoi fornire le autorizzazioni ai tuoi utenti creando politiche tramite il servizio AWS Identity and Access Management (IAM). Per prima cosa IAM crei ruoli, utenti o gruppi, quindi applichi le politiche con le autorizzazioni di cui hanno bisogno. Per informazioni sulla creazione e l'associazione delle IAM politiche, consulta Utilizzo delle politiche.

Autorizzazioni per singoli servizi

Importante

Questa sezione descrive le autorizzazioni necessarie per etichettare risorse da altre console di AWS servizio e. APIs

Per aggiungere tag a una risorsa, è necessario disporre delle autorizzazioni necessarie per il servizio a cui appartiene la risorsa. Ad esempio, per etichettare EC2 le istanze Amazon, devi disporre delle autorizzazioni per le operazioni di tagging di quel servizioAPI, come l'operazione Amazon. EC2 CreateTags

Autorizzazioni necessarie per utilizzare la console Tag Editor

Per utilizzare la console Tag Editor per elencare e contrassegnare le risorse, è necessario aggiungere le seguenti autorizzazioni alla dichiarazione politica di un utente in. IAM È possibile aggiungere politiche AWS gestite che vengono gestite e mantenute aggiornate da AWS, oppure è possibile creare e gestire politiche personalizzate.

Utilizzo di politiche AWS gestite per le autorizzazioni di Tag Editor

Tag Editor supporta le seguenti politiche AWS gestite che puoi utilizzare per fornire un set predefinito di autorizzazioni agli utenti. Puoi allegare queste politiche gestite a qualsiasi ruolo, utente o gruppo proprio come faresti con qualsiasi altra politica che crei.

ResourceGroupsandTagEditorReadOnlyAccess

Questa politica concede al IAM ruolo o all'utente associato l'autorizzazione a richiamare le operazioni di sola lettura sia per Tag Editor che per Tag AWS Resource Groups Editor. Per leggere i tag di una risorsa, devi inoltre disporre delle autorizzazioni per quella risorsa tramite una politica separata. Scopri di più nella seguente Nota importante.

ResourceGroupsandTagEditorFullAccess

Questa politica concede al IAM ruolo o all'utente allegato l'autorizzazione a chiamare qualsiasi operazione Resource Groups e le operazioni di lettura e scrittura dei tag in Tag Editor. Per leggere o scrivere i tag di una risorsa, devi inoltre disporre delle autorizzazioni per quella risorsa tramite una politica separata. Scopri di più nella seguente Nota importante.

Importante

Le due politiche precedenti concedono l'autorizzazione a richiamare le operazioni di Tag Editor e utilizzare la console Tag Editor. Tuttavia, è necessario disporre anche delle autorizzazioni non solo per richiamare l'operazione, ma anche delle autorizzazioni appropriate per la risorsa specifica di cui si sta tentando di accedere ai tag. Per concedere l'accesso ai tag, devi anche allegare una delle seguenti politiche:

  • La policy AWS gestita ReadOnlyAccessconcede le autorizzazioni per le operazioni di sola lettura per le risorse di ogni servizio. AWS mantiene automaticamente questa politica aggiornata con le nuove non AWS servizi appena diventano disponibili.

  • Molti servizi forniscono policy AWS gestite di sola lettura specifiche del servizio che è possibile utilizzare per limitare l'accesso solo alle risorse fornite da tale servizio. Ad esempio, Amazon EC2 fornisce AmazonEC2ReadOnlyAccess.

  • Puoi creare una politica personalizzata che conceda l'accesso solo a specifiche operazioni di sola lettura per i pochi servizi e risorse a cui desideri che i tuoi utenti accedano. Questa politica utilizza una strategia allowlist o una strategia di denylist.

    Una strategia di lista consentita sfrutta il fatto che l'accesso viene negato per impostazione predefinita fino a quando non lo si consente esplicitamente in una politica. Quindi, puoi usare una politica come nell'esempio seguente.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [ "tag:*" ],
            "Resource": "<ARNs of resources to allow tagging>"
        }
    ]
}

    In alternativa, puoi utilizzare una strategia di denylist che consenta l'accesso a tutte le risorse tranne quelle che blocchi esplicitamente. Ciò richiede una politica separata che si applica agli utenti pertinenti che consente l'accesso. La seguente politica di esempio nega quindi l'accesso alle risorse specifiche elencate da Amazon Resource Name (ARN).

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
             "Action": [ "tag:*" ],
            "Resource": "<ARNs of resources to disallow tagging>"
        }
    ]
}

Aggiungere manualmente le autorizzazioni di Tag Editor

  • tag:*(Questa autorizzazione consente tutte le azioni di Tag Editor. Se invece desideri limitare le azioni disponibili per un utente, puoi sostituire l'asterisco con un'azione specifica o con un elenco di azioni separate da virgole.)

  • tag:GetResources

  • tag:TagResources

  • tag:UntagResources

  • tag:getTagKeys

  • tag:getTagValues

  • resource-explorer:*

  • resource-groups:SearchResources

  • resource-groups:ListResourceTypes

Nota

L'resource-groups:SearchResourcesautorizzazione consente a Tag Editor di elencare le risorse quando filtri la ricerca utilizzando le chiavi o i valori dei tag.

L'resource-explorer:ListResourcesautorizzazione consente a Tag Editor di elencare le risorse quando si cercano risorse senza definire i tag di ricerca.

Concessione delle autorizzazioni per l'utilizzo di Tag Editor

Per aggiungere una politica per l'utilizzo AWS Resource Groups di Tag Editor a un ruolo, procedi come segue.

  1. Apri la IAMconsole alla pagina Ruoli.

  2. Trova il ruolo a cui vuoi concedere le autorizzazioni di Tag Editor. Scegli il nome del ruolo per aprire la pagina di riepilogo del ruolo.

  3. Nella scheda Permissions (Autorizzazioni), scegliere Add permissions (Aggiungi autorizzazioni).

  4. Scegli Attach existing policies directly (Collega direttamente le policy esistenti).

  5. Scegli Crea policy.

  6. Nella JSONscheda, incolla la seguente dichiarazione politica.

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "tag:GetResources",
        "tag:TagResources",
        "tag:UntagResources",
        "tag:getTagKeys",
        "tag:getTagValues",
        "resource-explorer:*",
        "resource-groups:SearchResources",
        "resource-groups:ListResourceTypes"
      ],
      "Resource": "*"
    }
  ]
}
    Nota

    Questa dichiarazione politica di esempio concede le autorizzazioni per eseguire solo azioni di Tag Editor.

  7. Scegli Next: Tags (Successivo: Tag), quindi Next: Review (Successivo: Verifica).

  8. Immettere un nome e una descrizione per la nuova politica. Ad esempio, AWSTaggingAccess.

  9. Scegli Crea policy.

Ora che la policy è stata salvata inIAM, puoi collegarla ad altri principali, come ruoli, gruppi o utenti. Per ulteriori informazioni su come aggiungere una politica a un principale, consulta Aggiungere e rimuovere i permessi di IAM identità nella Guida per l'IAMutente.

Autorizzazione e controllo degli accessi basati sui tag

AWS servizi supporta quanto segue:

  • Politiche basate sull'azione: ad esempio, è possibile creare una politica che consenta agli utenti di eseguire GetTagKeys le nostre GetTagValues operazioni, ma non altre.

  • Autorizzazioni a livello di risorsa nelle politiche: molti servizi supportano l'utilizzo ARNsper specificare singole risorse nella politica.

  • Autorizzazione basata sui tag: molti servizi supportano l'utilizzo di tag di risorse in base a una politica. Ad esempio, è possibile creare una politica che consenta agli utenti l'accesso completo a un gruppo con lo stesso tag degli utenti. Per ulteriori informazioni, consulta A cosa ABAC serve AWS? nella Guida AWS Identity and Access Management per l'utente.

  • Credenziali temporanee: gli utenti possono assumere un ruolo con una politica che consente le operazioni di Tag Editor.

Tag Editor non utilizza ruoli collegati ai servizi.

Per ulteriori informazioni su come Tag Editor si integra con AWS Identity and Access Management (IAM), consulta i seguenti argomenti nella Guida per l'AWS Identity and Access Management utente: