Controlar o acesso aos recursos do EC2 usando tags de recursos

Ao criar uma política do IAM que conceda permissão aos usuários para usar recursos do EC2, é possível incluir informações de tag no elemento Condition da política para controlar o acesso com base em tags. Isso é conhecido como controle de acesso baseado em atributo (ABAC). O ABAC oferece um controle melhor sobre quais recursos um usuário pode modificar, usar ou excluir. Para obter mais informações, consulte O que é ABAC para a AWS?

Por exemplo, é possível criar uma política que permite que os usuários encerrem uma instância, mas nega a ação se a instância tiver a tag environment=production. Para fazer isso, use a chave de condição aws:ResourceTag para permitir ou negar acesso ao recurso com base nas tags anexadas ao recurso.


"StringEquals": { "aws:ResourceTag/environment": "production" }

Para saber se uma ação de API do Amazon EC2 oferece suporte ao controle de acesso usando a chave de condição aws:ResourceTag, consulte Ações, recursos e chaves de condição para Amazon EC2 . Como as ações de Describe não oferecem suporte a permissões em nível de recurso, especifique-as em uma declaração separada sem condições.

Para obter exemplos de políticas do IAM, consulte Políticas de exemplo para trabalhar com a AWS CLI ou um AWS SDK.

Se você permitir ou negar aos usuários o acesso a recursos com base em tags, considere negar explicitamente aos usuários a capacidade de adicionar essas tags ou removê-las dos mesmos recursos. Caso contrário, é possível que um usuário contorne suas restrições e obtenha acesso a um recurso modificando as tags.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Recursos de tags durante a criação

Políticas de exemplo para CLI ou SDK