Verwenden von Tags zur Steuerung des Zugriffs auf Kontoverbindungsressourcen - Amazon CodeCatalyst
Beispiel 1: Erlauben Sie Aktionen, die auf Tags in der Anfrage basierenBeispiel 2: Aktionen auf der Grundlage von Ressourcen-Tags zulassen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwenden von Tags zur Steuerung des Zugriffs auf Kontoverbindungsressourcen

Tags können an die Ressource angehängt oder in der Anfrage an Dienste weitergegeben werden, die Tagging unterstützen. Ressourcen in Richtlinien können Tags enthalten, und einige Aktionen in Richtlinien können Tags enthalten. Zu den Bedingungsschlüsseln für Tagging gehören die aws:ResourceTag Bedingungsschlüssel aws:RequestTag und. Wenn Sie eine IAM-Richtlinie erstellen, können Sie Markierungs-Bedingungsschlüssel verwenden, um Folgendes zu kontrollieren:

  • Welche Benutzer auf der Grundlage von Tags, über die sie bereits verfügt, Aktionen an einer Verbindungsressource ausführen können.

  • Welche Tags in der Anforderung einer Aktion übergeben werden können.

  • Ob bestimmte Tag-Schlüssel in einer Anforderung verwendet werden können.

Die folgenden Beispiele zeigen, wie Tag-Bedingungen in Richtlinien für CodeCatalyst Kontoverbindungsbenutzer festgelegt werden. Weitere Informationen über Bedingungsschlüssel finden Sie unter Schlüssel zur Richtlinienbedingung in IAM.

Beispiel 1: Erlauben Sie Aktionen, die auf Tags in der Anfrage basieren

Die folgende Richtlinie gewährt Benutzern die Erlaubnis, Kontoverbindungen zu genehmigen.

Hierfür werden die Aktionen AcceptConnection und TagResource zugelassen, wenn die Anforderung ein Tag mit dem Namen Project und dem Wert ProjectA angibt. (Der Bedingungsschlüssel aws:RequestTag wird verwendet, um zu steuern, welche Tags in einer IAM-Anforderung übergeben werden können.) Die Bedingung aws:TagKeys stellt sicher, dass bei Tag-Schlüsseln die Groß- und Kleinschreibung beachtet wird.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "codecatalyst:AcceptConnection",
        "codecatalyst:TagResource"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:RequestTag/Project": "ProjectA"
        },
        "ForAllValues:StringEquals": {
          "aws:TagKeys": ["Project"]
        }
      }
    }
  ]
}

Beispiel 2: Aktionen auf der Grundlage von Ressourcen-Tags zulassen

Die folgende Richtlinie gewährt Benutzern die Erlaubnis, Aktionen an Kontoverbindungsressourcen durchzuführen und Informationen darüber abzurufen.

Zu diesem Zweck sind bestimmte Aktionen zulässig, wenn die Verbindung über ein Tag verfügt, das Project mit dem Wert benannt istProjectA. (Der Bedingungsschlüssel aws:ResourceTag wird verwendet, um zu steuern, welche Tags in einer IAM-Anforderung übergeben werden können.)

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "codecatalyst:GetConnection",
        "codecatalyst:DeleteConnection",
        "codecatalyst:AssociateIamRoleToConnection",
        "codecatalyst:DisassociateIamRoleFromConnection",
        "codecatalyst:ListIamRolesForConnection",
        "codecatalyst:PutBillingAuthorization"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:ResourceTag/Project": "ProjectA"
        }
      }
    }
  ]
}