As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Utilização de tags com políticas do IAM
Você pode aplicar permissões em nível de recurso com base em tags nas políticas do IAM que você usa para ações de API de integrações gerenciadas. Isso oferece a você mais controle sobre quais recursos um usuário pode criar, modificar ou usar. Você pode usar o elemento Condition (também chamado bloco Condition) juntamente com os seguintes valores e chaves de contexto de condição em uma política do IAM para controlar o acesso do usuário (permissões) baseado em tags de um recurso:
-
Use
aws:ResourceTag/, para permitir ou negar ações do usuário em recursos com tags específicas.tag-key:tag-value -
Use
aws:RequestTag/para exigir que uma tag específica seja (ou não seja) usada ao fazer uma solicitação de API para criar ou modificar um recurso que permite tags.tag-key:tag-value -
Use
aws:TagKeys: [para exigir que um conjunto específico de chaves de tag seja (ou não seja) usado ao fazer uma solicitação de API para criar ou modificar um recurso que permite tags.tag-key, ...]
nota
As chaves e valores de contexto da condição em uma política do IAM se aplicam somente às ações de integrações gerenciadas em que um identificador de um recurso capaz de ser marcado é um parâmetro obrigatório. Por exemplo, o uso de não GetCustomEndpointé permitido ou negado com base nas chaves e valores do contexto de condição porque nenhum recurso etiquetável (itens gerenciados, perfis de provisionamento, armários de credenciais, over-the-air tarefas) é referenciado nessa solicitação. Para obter mais informações sobre recursos de integrações gerenciadas que são marcáveis e chaves de condição que eles suportam, leia o recurso Ações, recursos e chaves de condição para integrações AWS IoT gerenciadas do. AWS IoT Device Management
Para obter mais informações sobre o uso de tags, consulte Controlar o acesso usando tags no Guia do usuário do AWS Identity and Access Management . A seção Referência de política JSON do IAM desse guia detalhou a sintaxe, as descrições e os exemplos dos elementos, variáveis e lógica de avaliação das políticas JSON no IAM.
O exemplo de política a seguir aplica duas restrições baseadas em tags para a CreateManagedThing ação. Um usuário do IAM restrito por essa política:
-
Não é possível criar uma coisa gerenciada com a tag “env=prod” (no exemplo, veja a linha).
"aws:RequestTag/env" : "prod" -
Não é possível modificar ou acessar uma coisa gerenciada que tenha uma tag “env=prod” existente (no exemplo, veja a linha).
"aws:ResourceTag/env" : "prod"
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "iotmanagedintegrations:CreateManagedThing", "Resource": "arn:aws:iotmanagedintegrations:${Region}:${Account}:managed-thing/*", "Condition": { "StringEquals": { "aws:RequestTag/env": "prod" } } }, { "Effect": "Deny", "Action": [ "iotmanagedintegrations:CreateManagedThing", "iotmanagedintegrations:DeleteManagedThing", "iotmanagedintegrations:GetManagedThing", "iotmanagedintegrations:UpdateManagedThing" ], "Resource": "arn:aws:iotmanagedintegrations:${Region}:${Account}:managed-thing/*", "Condition": { "StringEquals": { "aws:ResourceTag/env": "prod" } } }, { "Effect": "Allow", "Action": [ "iotmanagedintegrations:CreateManagedThing", "iotmanagedintegrations:DeleteManagedThing", "iotmanagedintegrations:GetManagedThing", "iotmanagedintegrations:UpdateManagedThing" ], "Resource": "*" } ] }
Você também pode especificar vários valores de tag para uma determinada chave de tag, colocando-as em uma lista como esta:
"StringEquals" : { "aws:ResourceTag/env" : ["dev", "test"] }
nota
Se você permitir ou negar aos usuários o acesso a recursos com base em tags, considere negar explicitamente aos usuários a capacidade de adicionar essas tags ou removê-las dos mesmos recursos. Caso contrário, é possível que um usuário contorne suas restrições e obtenha acesso a um recurso modificando as tags.
