Usar tags com o recurso Pontos de Acesso S3 para buckets de diretório - Amazon Simple Storage Service
Maneiras comuns de usar tags com pontos de acesso para buckets de diretório Trabalhar com tags para pontos de acesso para buckets de diretório

Usar tags com o recurso Pontos de Acesso S3 para buckets de diretório

Uma tag da AWS é um par de chave-valor que contém metadados sobre recursos; neste caso, Pontos de Acesso Amazon S3 para buckets de diretório. Você pode atribuir tags aos pontos de acesso ao criá-los ou gerenciar tags em pontos de acesso existentes. Para ter informações gerais sobre tags, consulte Atribuir tags para alocação de custos ou controle de acesso por atributo (ABAC).

nota

Não há cobrança adicional para usar tags em pontos de acesso para buckets de diretório além das taxas de solicitação padrão da API do S3. Para obter mais informações, consulte Preço do Amazon S3.

Maneiras comuns de usar tags com pontos de acesso para buckets de diretório

O controle de acesso por atributo (ABAC) permite ampliar as permissões de acesso e conceder acesso a pontos de acesso para buckets de diretório com base nas respectivas tags. Para ter mais informações sobre o ABAC no Amazon S3, consulte Using tags for ABAC.

ABAC para o recurso Pontos de Acesso S3

O recurso Pontos de Acesso Amazon S3 permite utilizar o controle de acesso por atributo (ABAC) usando tags. Use chaves de condição baseadas em tags nas políticas de suas organizações da AWS, em como em suas políticas do IAM e de pontos de acesso. Para empresas, o ABAC no Amazon S3 permite a autorização em várias contas da AWS.

Nas suas políticas do IAM, você pode controlar o acesso aos pontos de acesso para buckets de diretório com base nas tags do bucket usando as seguintes chaves de condição globais:

  • aws:ResourceTag/key-name

    • Use essa chave para comparar o par chave-valor da etiqueta especificado na política com o par chave-valor anexado ao recurso. Por exemplo, é possível exigir que o acesso a um recurso seja permitido somente se o recurso tiver a chave de tag Dept anexada com o valor Marketing. Para obter mais informações, consulte Controle de acesso aos recursos do AWS.

  • aws:RequestTag/key-name

    • Use essa chave para comparar o par de chave/valor da tag que foi passado na solicitação com o par de tags especificado na política. Por exemplo, é possível verificar se a solicitação inclui a chave de tag Dept e se ela tem o valor Accounting. Para ter mais informações, consulte Controlar o acesso durante solicitações da AWS. Você pode usar essa chave de condição para restringir quais pares de chave-valor de tag podem ser transmitidos durante as operações de API TagResource e CreateAccessPoint.

  • aws:TagKeys

    • Use essa chave para comparar as chaves de tag em uma solicitação com as chaves especificadas na política. Ao usar políticas para controlar o acesso usando etiquetas, recomendamos o uso da chave de condição aws:TagKeys para definir quais chaves de etiquetas serão permitidas. Para ver exemplos de política e ter mais informações, consulte Controlar o acesso com base em chaves de tag. Você pode criar um ponto de acesso para buckets de diretório com tags. Para permitir a marcação durante a operação de API CreateAccessPoint, você deve criar uma política que inclua as ações s3express:TagResource e s3express:CreateAccessPoint. Em seguida, você pode usar a chave de condição aws:TagKeys para impor o uso de tags específicas na solicitação CreateAccessPoint.

  • s3express:AccessPointTag/tag-key

    • Use essa chave de condição para conceder permissões a dados específicos por meio de pontos de acesso usando tags. Ao usar aws:ResourceTag/tag-key em uma política do IAM, tanto o ponto de acesso quanto o bucket para o qual o ponto de acesso aponta precisam ter a mesma tag, pois ambos são considerados durante a autorização. Se você quiser controlar o acesso aos seus dados especificamente apenas por meio da tag do ponto de acesso, é possível usar a chave de condição s3express:AccessPointTag/tag-key.

Exemplos de política de ABAC para pontos de acesso para buckets de diretório

Consulte os exemplos de política de ABAC a seguir para pontos de acesso para buckets de diretório.

1.1 Política do IAM para criar ou modificar pontos de acesso com tags específicas

Nesta política do IAM, usuários ou perfis com esta política só podem criar pontos de acesso se atribuírem tags aos pontos de acesso com a chave de tag project e o valor de tag Trinity na solicitação de criação do ponto de acesso. Eles também podem adicionar ou modificar tags em pontos de acesso para buckets de diretório existentes, desde que a solicitação TagResource inclua o par de chave-valor de tag project:Trinity. 

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "CreateAccessPointWithTags",
      "Effect": "Allow",
      "Action": [
        "s3express:CreateAccessPoint",
        "s3express:TagResource"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:RequestTag/project": [
            "Trinity"
          ]
        }
      }
    }
  ]
}

1.2 Política de ponto de acesso para restringir operações no bucket por meio de tags

Nesta política de ponto de acesso, as entidades principais do IAM (usuários e perfis) podem executar operações usando a ação CreateSession no ponto de acesso somente se o valor da tag project do ponto de acesso corresponder ao valor da tag project da entidade principal.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowObjectOperations",
      "Effect": "Allow",
      "Principal": {
        "AWS": "111122223333"
      },
      "Action": "s3express:CreateSession",
      "Resource": "arn:aws::s3express:region:111122223333:access-point/my-access-point",
      "Condition": {
        "StringEquals": {
          "aws:ResourceTag/project": "${aws:PrincipalTag/project}"
        }
      }
    }
  ]
}

1.3 Política do IAM para modificar tags em recursos existentes, mantendo a governança de marcação

Nesta política do IAM, as entidades principais do IAM (usuários e perfis) podem modificar tags em um ponto de acesso somente se o valor da tag project do ponto de acesso corresponder ao valor da tag project da entidade principal. Somente as quatro tags (project, environment, owner e cost-center) especificadas nas chaves de condição aws:TagKeys são permitidas para esses pontos de acesso. Isso ajuda a impor a governança de tags, evita modificações não autorizadas nas tags e mantém o esquema de marcação consistente em todos os pontos de acesso.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "EnforceTaggingRulesOnModification",
      "Effect": "Allow",
      "Action": [
        "s3express:TagResource"
      ],
      "Resource": "arn:aws::s3express:region:111122223333:accesspoint/my-access-point",
      "Condition": {
        "StringEquals": {
          "aws:ResourceTag/project": "${aws:PrincipalTag/project}"
        },
        "ForAllValues:StringEquals": {
          "aws:TagKeys": [
            "project",
            "environment",
            "owner",
            "cost-center"
          ]
        }
      }
    }
  ]
}

1.4 Usar a chave de condição s3express:AccessPointTag

Nesta política do IAM, a instrução de condição permitirá acesso aos dados do bucket somente se o ponto de acesso usado para acessar o bucket tiver a chave de tag Environment e o valor de tag Production. 

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowAccessToSpecificAccessPoint",
      "Effect": "Allow",
      "Action": "*",
      "Resource": "arn:aws::s3express:region:111122223333:accesspoint/my-access-point",
      "Condition": {
        "StringEquals": {
          "s3express:AccessPointTag/Environment": "Production"
        }
      }
    }
  ]
}

Trabalhar com tags para pontos de acesso para buckets de diretório

Você pode adicionar ou gerenciar tags para pontos de acesso para buckets de diretório usando o console do Amazon S3, a AWS Command Line Interface (CLI) e os SDKs da AWS ou as APIs TagResource, UntagResource e ListTagsForResource do S3. Para ter mais informações, consulte:

Tópicos