Controlar o acesso aos recursos do EC2 usando tags de recursos - Amazon Elastic Compute Cloud

Controlar o acesso aos recursos do EC2 usando tags de recursos

Ao criar uma política do IAM que conceda permissão aos usuários do IAM para usar recursos do EC2, é possível incluir informações de tag no elemento Condition da política para controlar o acesso com base em tags. Isso é conhecido como controle de acesso baseado em atributo (ABAC). O ABAC oferece um controle melhor sobre quais recursos um usuário pode modificar, usar ou excluir. Para obter mais informações, consulte O que é ABAC para a AWS?

Por exemplo, é possível criar uma política que permite que os usuários encerrem uma instância, mas nega a ação se a instância tiver a tag environment=production. Para fazer isso, use a chave de condição ec2:ResourceTag para permitir ou negar acesso ao recurso com base nas tags anexadas ao recurso.

"StringEquals": { "ec2:ResourceTag/environment": "production" }

Para saber se uma ação de API do Amazon EC2 oferece suporte ao controle de acesso usando a chave de condição ec2:ResourceTag, consulte Ações, recursos e chaves de condição para Amazon EC2 . Como as ações de Describe não oferecem suporte a permissões em nível de recurso, você deve especificá-las em uma declaração separada sem condições.

Para obter exemplos de políticas do IAM, consulte Políticas de exemplo para trabalhar com a AWS CLI ou um AWS SDK.

Se você permitir ou negar aos usuários o acesso a recursos com base em tags, considere negar explicitamente aos usuários a capacidade de adicionar essas tags ou removê-las dos mesmos recursos. Caso contrário, é possível que um usuário contorne suas restrições e obtenha acesso a um recurso modificando as tags.