Usando tags para controlar o acesso aos recursos de conexão da conta - Amazon CodeCatalyst
Exemplo 1: permitir ações com base em tags na solicitaçãoExemplo 2: Permitir ações com base em tags de recursos

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Usando tags para controlar o acesso aos recursos de conexão da conta

As tags podem ser anexadas ao recurso ou passadas na solicitação para serviços que oferecem suporte à marcação. Os recursos nas políticas podem ter tags, e algumas ações nas políticas podem incluir tags. As chaves de condição de marcação incluem as chaves de aws:ResourceTag condição aws:RequestTag e. Ao criar uma política do IAM, você poderá usar chaves de condição de tag para controlar o seguinte:

  • Quais usuários podem realizar ações em um recurso de conexão, com base nas tags que ele já tem.

  • Quais tags podem ser transmitidas na solicitação de uma ação.

  • Se chaves de tags específicas podem ser usadas em uma solicitação.

Os exemplos a seguir demonstram como especificar condições de tag nas políticas para usuários de conexões de CodeCatalyst contas. Para obter mais informações sobre essas chaves de condição, consulte Chaves de condição de política no IAM.

Exemplo 1: permitir ações com base em tags na solicitação

A política a seguir concede aos usuários permissão para aprovar conexões de conta.

Para fazer isso, ela permitirá as ações AcceptConnection e TagResource se a solicitação especificar uma tag denominada Project com o valor ProjectA. (A aws:RequestTag chave de condição é usada para controlar quais tags podem ser transmitidas em uma solicitação do IAM.) A aws:TagKeys condição garante que a chave de tag faça diferenciação de letras maiúsculas e minúsculas.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "codecatalyst:AcceptConnection",
        "codecatalyst:TagResource"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:RequestTag/Project": "ProjectA"
        },
        "ForAllValues:StringEquals": {
          "aws:TagKeys": ["Project"]
        }
      }
    }
  ]
}

Exemplo 2: Permitir ações com base em tags de recursos

A política a seguir concede aos usuários permissão para realizar ações e obter informações sobre os recursos de conexão da conta.

Para fazer isso, ele permite ações específicas se a conexão tiver uma tag nomeada Project com o valorProjectA. (A aws:ResourceTag chave de condição é usada para controlar quais tags podem ser transmitidas em uma solicitação do IAM.)

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "codecatalyst:GetConnection",
        "codecatalyst:DeleteConnection",
        "codecatalyst:AssociateIamRoleToConnection",
        "codecatalyst:DisassociateIamRoleFromConnection",
        "codecatalyst:ListIamRolesForConnection",
        "codecatalyst:PutBillingAuthorization"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:ResourceTag/Project": "ProjectA"
        }
      }
    }
  ]
}