Exemplo de marcação Etiquetas para segurança Controlar o acesso usando etiquetas

Suporte de marcação para o Application Auto Scaling

Você pode usar o AWS CLI ou um SDK para marcar destinos escaláveis do Application Auto Scaling. Os alvos escaláveis são as entidades que representam os recursos AWS ou recursos personalizados que o Application Auto Scaling pode escalar.

Cada etiqueta é um rótulo que consiste em uma chave e um valor definidos pelo usuário usando a API do Application Auto Scaling. As etiquetas podem ajudar você a configurar o acesso granular a destinos escaláveis específicos de acordo com as necessidades da sua organização. Para ter mais informações, consulte ABAC com o Application Auto Scaling.

É possível adicionar etiquetas a novos destinos escaláveis ao registrá-los ou adicioná-las a destinos escaláveis existentes.

Os comandos comumente usados para gerenciar etiquetas incluem:

register-scalable-target para marcar novos destinos escaláveis ao registrá-los.
tag-resource para adicionar etiquetas a um destino escalável existente.
list-tags-for-resource para retornar as etiquetas em um destino escalável.
untag-resource para excluir uma etiqueta.

Exemplo de marcação

Use o comando register-scalable-target, a seguir, com a opção --tags. Este exemplo adiciona uma etiqueta a um destino escalável com duas etiquetas: uma chave de etiqueta nomeada environment com o valor de etiqueta production, e uma chave de etiqueta nomeada iscontainerbased com o valor de etiqueta true.

Substitua os valores de amostra de --min-capacity --max-capacity e e o texto de amostra de pelo --service-namespace namespace do AWS serviço que você está usando com o Application Auto Scaling--scalable-dimension, pela dimensão escalável associada ao recurso que você está registrando --resource-id e por um identificador para o recurso. Para obter mais informações e exemplos de cada serviço, consulte os tópicos na Serviços da AWS que você pode usar com o Application Auto Scaling.


aws application-autoscaling register-scalable-target \
  --service-namespace namespace \
  --scalable-dimension dimension \
  --resource-id identifier \
  --min-capacity 1 --max-capacity 10 \
  --tags environment=production,iscontainerbased=true

Se obtiver êxito, esse comando retornará o ARN do destino escalável.


{
    "ScalableTargetARN": "arn:aws:application-autoscaling:region:account-id:scalable-target/1234abcd56ab78cd901ef1234567890ab123"
}

nota

Se esse comando gerar um erro, verifique se você atualizou o AWS CLI localmente para a versão mais recente.

Etiquetas para segurança

Use etiquetas para verificar se o solicitante (como um perfil ou usuário do IAM) tem permissões para executar determinadas ações. Forneça informações de tags no elemento de condição de uma política do IAM usando uma ou mais das seguintes chaves de condição:

Use aws:ResourceTag/tag-key: tag-value para permitir (ou negar) ações do usuário em destinos escaláveis com etiquetas específicas.
Use aws:RequestTag/tag-key: tag-value para exigir que uma tag específica esteja presente (ou ausente) em uma solicitação.
Use aws:TagKeys [tag-key, ...] para exigir que chaves de tag específicas estejam presentes (ou ausentes) em uma solicitação.

Por exemplo, a seguinte política do IAM concede permissões para usar as ações DeregisterScalableTarget, DeleteScalingPolicy e DeleteScheduledAction. No entanto, ela também negará as ações se o destino escalável que está recebendo a ação tiver a etiqueta environment=production.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [        
                "application-autoscaling:DeregisterScalableTarget",
                "application-autoscaling:DeleteScalingPolicy",
                "application-autoscaling:DeleteScheduledAction"
            ],
            "Resource": "*"
            }
        },
        {
            "Effect": "Deny",
            "Action": [        
                "application-autoscaling:DeregisterScalableTarget",
                "application-autoscaling:DeleteScalingPolicy",
                "application-autoscaling:DeleteScheduledAction"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {"aws:ResourceTag/environment": "production"}
            }
        }
    ]
}

Controlar o acesso usando etiquetas

Use etiquetas para verificar se o solicitante (como um perfil ou usuário do IAM) tem permissões para adicionar, modificar ou excluir etiquetas para destinos escaláveis.

Por exemplo, é possível criar uma política do IAM que permita remover apenas a etiqueta com a chave temporary dos destinos escaláveis.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "application-autoscaling:UntagResource",
            "Resource": "*",
            "Condition": {
                "ForAllValues:StringEquals": { "aws:TagKeys": ["temporary"] }
            }
        }
    ]
}

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Amazon EventBridge

Segurança