Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Tags zur Steuerung des Zugriffs auf Elastic Beanstalk-Ressourcen verwenden
In diesem Thema wird erklärt, wie die tagbasierte Zugriffskontrolle Sie bei der Erstellung und Verwaltung von Richtlinien unterstützen kann. IAM
Wir können Bedingungen in IAM Benutzerrichtlinienerklärungen verwenden, um die Berechtigungen für den Zugriff von Elastic Beanstalk auf Ressourcen zu konfigurieren. Weitere Informationen zu den Bedingungen für Richtlinienerklärungen finden Sie unter. Ressourcen und Bedingungen für Elastic Beanstalk-Aktionen Das Verwenden von Tags in Bedingungen ist eine Möglichkeit zur Kontrolle des Zugriffs auf Ressourcen und Anfragen. Informationen zum Tagging von Elastic Beanstalk-Ressourcen finden Sie unter Markieren von Elastic Beanstalk-Anwendungsressourcen.
Beim Entwerfen von IAM Richtlinien legen Sie möglicherweise detaillierte Berechtigungen fest, indem Sie Zugriff auf bestimmte Ressourcen gewähren. Mit zunehmender Anzahl der Ressourcen, die Sie verwalten, wird diese Aufgabe erschwert. Durch Markieren von Ressourcen und Verwenden von Tags in Richtlinienanweisungsbedingungen lässt sich diese Aufgabe vereinfachen. Sie erteilen Massenzugriff auf eine beliebige Ressource mit einem bestimmten Tag. Anschließend wenden Sie dieses Tag während der Erstellung oder zu einem späteren Zeitpunkt wiederholt auf relevante Ressourcen an.
Markierungen können an die Ressource angehängt oder in der Anfrage an Services übergeben werden, die das Markieren unterstützen. In Elastic Beanstalk können Ressourcen Tags haben, und einige Aktionen können Tags enthalten. Wenn Sie eine IAM Richtlinie erstellen, können Sie mithilfe von Tag-Bedingungsschlüsseln die folgenden Bedingungen steuern:
-
Welche Benutzer Aktionen für eine Umgebung ausführen können, basierend auf bereits vorhandenen Tags.
-
Welche Tags in der Anforderung einer Aktion übergeben werden können.
-
Ob bestimmte Tag-Schlüssel in einer Anforderung verwendet werden können.
Die vollständige Syntax und Semantik der Tag-Bedingungsschlüssel finden Sie im IAMBenutzerhandbuch unter Zugriffskontrolle mithilfe von Tags.
Beispiele für Tag-Bedingungen in Richtlinien
Die folgenden Beispiele zeigen, wie Sie Tag-Bedingungen in Richtlinien für Elastic Beanstalk-Benutzer festlegen können.
Beispiel 1: Einschränken von Aktionen basierend auf Tags in der Anforderung
Die Elastic Beanstalk-Richtlinie für AdministratorAccessAWSElasticBeanstalkverwaltete Benutzer gibt Benutzern uneingeschränkte Rechte, jede Elastic Beanstalk-Aktion auf jeder von Elastic Beanstalk verwalteten Ressource auszuführen.
Mit der folgenden Richtlinie wird nicht autorisierten Benutzern die Berechtigung verweigert, Elastic Beanstalk-Produktionsumgebungen zu erstellen. Dazu verweigert es die CreateEnvironment-Aktion, wenn die Anforderung ein Tag mit dem Namen stage und einem der Werte gamma oder prod festlegt. Darüber hinaus verhindert diese Richtlinie, dass nicht autorisierte Benutzer die Phase der Produktionsumgebungen manipulieren, indem sie Tag-Änderungsaktionen verhindert, bei denen die gleichen Tag-Werte betroffen sind oder bei denen das stage-Tag vollständig entfernt wird. Der Administrator eines Kunden muss diese IAM Richtlinie zusätzlich zur Richtlinie für verwaltete Benutzer auch nicht autorisierten IAM Benutzern zuordnen.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "elasticbeanstalk:CreateEnvironment", "elasticbeanstalk:AddTags" ], "Resource": "*", "Condition": { "StringEquals": { "aws:RequestTag/stage": ["gamma", "prod"] } } }, { "Effect": "Deny", "Action": [ "elasticbeanstalk:RemoveTags" ], "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "aws:TagKeys": ["stage"] } } } ] }
Beispiel 2: Einschränken von Aktionen basierend auf Ressourcen-Tags
Die Elastic Beanstalk-Richtlinie für AdministratorAccessAWSElasticBeanstalkverwaltete Benutzer gibt Benutzern uneingeschränkte Rechte, jede Elastic Beanstalk-Aktion auf jeder von Elastic Beanstalk verwalteten Ressource auszuführen.
Mit der folgenden Richtlinie wird Benutzern die Berechtigung verweigert, Aktionen für Elastic Beanstalk-Produktionsumgebungen auszuführen. Dazu verweigert es bestimmte Aktionen, wenn die Umgebung über ein Tag mit dem Namen stage und einem der Werte gamma oder prod verfügt. Der Administrator eines Kunden muss diese IAM Richtlinie zusätzlich zur Richtlinie für verwaltete Benutzer auch nicht autorisierten IAM Benutzern zuordnen.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "elasticbeanstalk:AddTags", "elasticbeanstalk:RemoveTags", "elasticbeanstalk:DescribeEnvironments", "elasticbeanstalk:TerminateEnvironment", "elasticbeanstalk:UpdateEnvironment", "elasticbeanstalk:ListTagsForResource" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceTag/stage": ["gamma", "prod"] } } } ] }
Beispiel 3: Zulassen von Aktionen basierend auf Tags in der Anforderung
Mit der folgenden Richtlinie wird Benutzern die Berechtigung zum Erstellen von Elastic Beanstalk-Entwicklungsanwendungen erteilt.
Dazu werden die Aktionen CreateApplication und AddTags zugelassen, wenn die Anforderung ein Tag mit dem Namen stage mit dem Wert development angibt. Die aws:TagKeys-Bedingung stellt sicher, dass der Benutzer keine anderen Tag-Schlüssel hinzufügen kann. Insbesondere wird sichergestellt, dass die Groß-/Kleinschreibung des stage-Tag-Schlüssels berücksichtigt wird. Beachten Sie, dass diese Richtlinie für IAM Benutzer nützlich ist, denen die Elastic Beanstalk AdministratorAccess Beanstalk-Richtlinie für AWSElasticBeanstalk verwaltete Benutzer nicht angehängt ist. Die verwaltete Richtlinie gibt Benutzern unbegrenzte Berechtigung, jede Elastic Beanstalk-Aktion für jede von Elastic BeanStalk-verwaltete Ressource durchzuführen.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "elasticbeanstalk:CreateApplication", "elasticbeanstalk:AddTags" ], "Resource": "*", "Condition": { "StringEquals": { "aws:RequestTag/stage": "development" }, "ForAllValues:StringEquals": { "aws:TagKeys": ["stage"] } } } ] }
Beispiel 4: Zulassen von Aktionen basierend auf Ressourcen-Tags
Mit der folgenden Richtlinie wird Benutzern die Berechtigung zum Ausführen von Aktionen auf und Abrufen von Informationen zu Elastic Beanstalk-Entwicklungsanwendungen gewährt.
Dazu werden bestimmte Aktionen zugelassen, wenn die Anwendung ein Tag mit dem Namen stage mit dem Wert development enthält. Die aws:TagKeys-Bedingung stellt sicher, dass der Benutzer keine anderen Tag-Schlüssel hinzufügen kann. Insbesondere wird sichergestellt, dass die Groß-/Kleinschreibung des stage-Tag-Schlüssels berücksichtigt wird. Beachten Sie, dass diese Richtlinie für IAM Benutzer nützlich ist, denen die Elastic Beanstalk AdministratorAccess Beanstalk-Richtlinie für AWSElasticBeanstalk verwaltete Benutzer nicht angehängt ist. Die verwaltete Richtlinie gibt Benutzern unbegrenzte Berechtigung, jede Elastic Beanstalk-Aktion für jede von Elastic BeanStalk-verwaltete Ressource durchzuführen.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "elasticbeanstalk:UpdateApplication", "elasticbeanstalk:DeleteApplication", "elasticbeanstalk:DescribeApplications" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceTag/stage": "development" }, "ForAllValues:StringEquals": { "aws:TagKeys": ["stage"] } } } ] }
