IAM 정책에 태그 사용 - FreeRTOS

IAM 정책에 태그 사용

FreeRTOS 콘솔을 사용하여 작업에 사용하는 IAM 정책에서 태그 기반의 리소스 수준 권한을 적용할 수 있습니다. 이를 통해 사용자가 생성, 수정 또는 사용할 수 있는 구성을 더욱 정확하게 제어할 수 있습니다. AWS IoT의 태그 지정 및 IAM 정책에 대한 자세한 내용은 AWS IoT 개발자 안내서IAM 정책에 태그 사용 단원을 참조하십시오.

IAM 정책 정의에서 리소스 태그를 기반으로 사용자 액세스(권한)를 제어하기 위해 다음 조건 컨텍스트 키 및 값과 함께 Condition 요소(Condition 블록이라고도 함)를 사용합니다.

  • 특정 태그가 지정된 FreeRTOS 구성에 대해 사용자 작업을 허용하거나 거부하려면 aws:ResourceTag/tag-key: tag-value를 사용합니다.

  • FreeRTOS 콘솔에서 구성을 생성하거나 수정할 때 특정 태그를 사용해야 하거나 사용하지 않아야 할 경우 aws:RequestTag/tag-key: tag-value를 사용합니다.

  • FreeRTOS 콘솔에서 구성을 생성하거나 수정할 때 특정 태그 키 집합을 사용해야 하거나 사용하지 않아야 할 경우 aws:TagKeys: [tag-key, ...]를 사용합니다.

자세한 내용은 AWS Identity and Access Management 사용 설명서태그를 사용한 액세스 제어 단원을 참조하십시오. IAM 내 JSON 정책의 요소, 변수 및 평가 로직에 대한 자세한 구문, 설명 및 예제는 IAM JSON 정책 참조 단원을 참조하십시오.

다음은 태그 기반 제한 2개를 적용하는 정책 예제입니다. 이 정책으로 제한되는 IAM 사용자는 다음과 같습니다.

  • 리소스에 태그 env=prod를 지정할 수 없습니다. 이 예제에서 "aws:RequestTag/env" : "prod" 행을 참조하십시오.

  • 기존 태그 env=prod가 지정된 리소스를 수정 또는 액세스할 수 없습니다. 이 예제에서 "aws:ResourceTag/env" : "prod" 행을 참조하십시오.

{ "Version" : "2012-10-17", "Statement" : [ { "Effect" : "Deny", "Action" : "freertos:*", "Resource" : "*", "Condition" : { "StringEquals" : { "aws:RequestTag/env" : "prod" } } }, { "Effect" : "Deny", "Action" : "freertos:*", "Resource" : "*", "Condition" : { "StringEquals" : { "aws:ResourceTag/env" : "prod" } } }, { "Effect": "Allow", "Action": [ "iot:*" ], "Resource": "*" } ] }

또한 다음과 같이 목록에서 태그를 둘러싸 지정된 태그 키에 대해 여러 태그 값을 지정할 수도 있습니다.

{ ... "StringEquals" : { "aws:ResourceTag/env" : ["dev", "test"] } }
참고

태그를 기준으로 리소스에 대한 사용자 액세스를 허용 또는 거부하는 경우 동일한 리소스에서 태그를 추가 또는 제거할 수 있도록 사용자를 명시적으로 거부할 것을 고려해야 합니다. 그렇지 않으면 사용자가 제한을 피해 태그를 수정하여 리소스에 대한 액세스 권한을 얻을 수 있습니다.