Usar tags para controlar o acesso aos recursos do Elastic Beanstalk - AWS Elastic Beanstalk

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Usar tags para controlar o acesso aos recursos do Elastic Beanstalk

As condições em instruções de política do usuário do AWS Identity and Access Management (IAM) fazem parte da sintaxe que você usa para especificar permissões para os recursos de que as ações do Elastic Beanstalk precisam para serem realizadas. Para obter detalhes sobre como especificar condições de declaração de política, consulte Recursos e condições para ações do Elastic Beanstalk. O uso de tags em condições é uma forma de controlar o acesso a recursos e solicitações. Para obter informações sobre como marcar recursos do Elastic Beanstalk, consulte Marcar recursos da aplicação do Elastic Beanstalk. Este tópico discute o controle de acesso com base em tags.

Ao criar políticas do IAM, você pode definir permissões granulares concedendo acesso a recursos específicos. À medida que o número de recursos que você gerencia cresce, essa tarefa se torna mais difícil. Atribuir tags a recursos e usar tags em condições de declaração de política pode facilitar essa tarefa. Você concede acesso em massa a qualquer recurso com uma determinada tag. Depois, você aplica essa tag repetidamente a recursos relevantes, durante a criação ou posteriormente.

As tags podem ser anexadas ao recurso ou passadas na solicitação para serviços que ofereçam suporte a tags. No Elastic Beanstalk, os recursos podem ter tags, e algumas ações podem incluir tags. Ao criar uma política do IAM, você poderá usar chaves de condição de tag para controlar:

  • Quais usuários podem executar ações em um ambiente, com base nas tags que ele já tem.

  • Quais tags podem ser transmitidas na solicitação de uma ação.

  • Se chaves de tags específicas podem ser usadas em uma solicitação.

Para obter a sintaxe e a semântica completas das chaves de condição de tag, consulte Controlar o acesso usando tags no Guia do usuário do IAM.

Os exemplos a seguir demonstram como especificar condições de tag em políticas para usuários do Elastic Beanstalk.

exemplo 1: Limitar ações com base em tags na solicitação

A política de usuário gerenciada AdministratorAccess-AWSElasticBeanstalk do Elastic Beanstalk oferece aos usuários permissão ilimitada para executar qualquer ação do Elastic Beanstalk em qualquer recurso gerenciado pelo Elastic Beanstalk.

A política a seguir limita esse poder e nega a usuários não autorizados permissão para criar ambientes de produção do Elastic Beanstalk. Para fazer isso, ela negará a ação CreateEnvironment se a solicitação especificar uma tag chamada stage com um dos valores gamma ou prod. Além disso, a política impede que esses usuários não autorizados interfiram nas fase de ambientes de produção, impedindo que ações de modificação de tags incluam esses mesmos valores de tag ou removam completamente a tag stage. O administrador de um cliente deve anexar essa política do IAM a usuários não autorizados do IAM, além da política de usuário gerenciada.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": [
        "elasticbeanstalk:CreateEnvironment",
        "elasticbeanstalk:AddTags"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:RequestTag/stage": ["gamma", "prod"]
        }
      }
    },
    {
      "Effect": "Deny",
      "Action": [
        "elasticbeanstalk:RemoveTags"
      ],
      "Resource": "*",
      "Condition": {
        "ForAnyValue:StringEquals": {
          "aws:TagKeys": ["stage"]
        }
      }
    }
  ]
}
exemplo 2: Limitar ações com base em tags de recursos

A política de usuário gerenciada AdministratorAccess-AWSElasticBeanstalk do Elastic Beanstalk oferece aos usuários permissão ilimitada para executar qualquer ação do Elastic Beanstalk em qualquer recurso gerenciado pelo Elastic Beanstalk.

A política a seguir limita esse poder e nega a usuários não autorizados permissão para realizar ações em ambientes de produção do Elastic Beanstalk. Para fazer isso, ela negará ações específicas se o ambiente tiver uma tag chamada stage com um dos valores gamma ou prod. O administrador de um cliente deve anexar essa política do IAM a usuários não autorizados do IAM, além da política de usuário gerenciada.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": [
        "elasticbeanstalk:AddTags",
        "elasticbeanstalk:RemoveTags",
        "elasticbeanstalk:DescribeEnvironments",
        "elasticbeanstalk:TerminateEnvironment",
        "elasticbeanstalk:UpdateEnvironment",
        "elasticbeanstalk:ListTagsForResource"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:ResourceTag/stage": ["gamma", "prod"]
        }
      }
    }
  ]
}
exemplo 3: Permitir ações com base em tags na solicitação

A política a seguir concede aos usuários permissão para criar aplicações de desenvolvimento do Elastic Beanstalk.

Para fazer isso, ela permitirá as ações CreateApplication e AddTags se a solicitação especificar uma tag chamada stage com o valor development. A condição aws:TagKeys garante que o usuário não possa adicionar outras chaves de tag. Especificamente, ele garante a diferenciação entre maiúsculas e minúsculas da chave da tag stage. Observe que essa política é útil para os usuários do IAM que não tenham a política de usuário gerenciada AdministratorAccess-AWSElasticBeanstalk do Elastic Beanstalk anexada. A política gerenciada oferece aos usuários permissão ilimitada para executar qualquer ação do Elastic Beanstalk em qualquer recurso gerenciado pelo Elastic Beanstalk.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "elasticbeanstalk:CreateApplication",
        "elasticbeanstalk:AddTags"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:RequestTag/stage": "development"
        },
        "ForAllValues:StringEquals": {
          "aws:TagKeys": ["stage"]
        }
      }
    }
  ]
}
exemplo 4: Permitir ações com base em tags de recursos

A política a seguir concede aos usuários permissão para executar ações e obter informações sobre as aplicações de desenvolvimento do Elastic Beanstalk.

Para fazer isso, ela permitirá ações específicas se o aplicativo tiver uma tag chamada stage com o valor development. A condição aws:TagKeys garante que o usuário não possa adicionar outras chaves de tag. Especificamente, ele garante a diferenciação entre maiúsculas e minúsculas da chave da tag stage. Observe que essa política é útil para os usuários do IAM que não tenham a política de usuário gerenciada AdministratorAccess-AWSElasticBeanstalk do Elastic Beanstalk anexada. A política gerenciada oferece aos usuários permissão ilimitada para executar qualquer ação do Elastic Beanstalk em qualquer recurso gerenciado pelo Elastic Beanstalk.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "elasticbeanstalk:UpdateApplication",
        "elasticbeanstalk:DeleteApplication",
        "elasticbeanstalk:DescribeApplications"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:ResourceTag/stage": "development"
        },
        "ForAllValues:StringEquals": {
          "aws:TagKeys": ["stage"]
        }
      }
    }
  ]
}