Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Zugriffssteuerung mit Tags
Um Tags mithilfe von hinzuzufügen, anzuzeigen und zu löschenAPI, benötigen Prinzipale Tagging-Berechtigungen in Richtlinien. IAM
Sie können diese Berechtigungen auch einschränken, indem Sie AWS globale Bedingungsschlüssel für Tags verwenden. In der AWS Zahlungskryptografie können diese Bedingungen den Zugriff auf Tagging-Operationen wie TagResourceund steuern. UntagResource
Richtlinien und weitere Informationen finden Sie beispielsweise unter Zugriffskontrolle anhand von Tag-Schlüsseln im IAMBenutzerhandbuch.
Berechtigungen zum Erstellen und Verwalten von Tags funktionieren wie folgt.
- Zahlungskryptografie: TagResource
-
Erlaubt es Prinzipalen, Tags hinzuzufügen oder zu bearbeiten. Um bei der Erstellung eines Schlüssels Tags hinzufügen zu können, muss der Principal über die entsprechenden Rechte in einer IAM Richtlinie verfügen, die nicht auf bestimmte Schlüssel beschränkt ist.
- Zahlungskryptografie: ListTagsForResource
-
Ermöglicht Prinzipalen das Anzeigen von Tags auf Schlüsseln.
- Zahlungskryptografie: UntagResource
-
Ermöglicht Prinzipalen, Tags aus Schlüsseln zu löschen.
Tag-Berechtigungen in Richtlinien
Sie können Tag-Berechtigungen in einer wichtigen Richtlinie oder IAM Richtlinie bereitstellen. Das folgende Beispiel für eine Schlüsselrichtlinie gibt ausgewählten Benutzern beispielsweise die Möglichkeit, den Schlüssel zu kennzeichnen. Sie erteilt allen Benutzern, die die Beispiel-Administrator- oder Entwicklerrollen übernehmen können, die Berechtigung zum Anzeigen von Tags.
{ "Version": "2012-10-17", "Id": "example-key-policy", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::111122223333:root"}, "Action": "payment-cryptography:*", "Resource": "*" }, { "Sid": "Allow all tagging permissions", "Effect": "Allow", "Principal": {"AWS": [ "arn:aws:iam::111122223333:user/LeadAdmin", "arn:aws:iam::111122223333:user/SupportLead" ]}, "Action": [ "payment-cryptography:TagResource", "payment-cryptography:ListTagsForResource", "payment-cryptography:UntagResource" ], "Resource": "*" }, { "Sid": "Allow roles to view tags", "Effect": "Allow", "Principal": {"AWS": [ "arn:aws:iam::111122223333:role/Administrator", "arn:aws:iam::111122223333:role/Developer" ]}, "Action": "payment-cryptography:ListResourceTags", "Resource": "*" } ] }
Um Prinzipalen die Möglichkeit zu geben, mehrere Schlüssel zu kennzeichnen, können Sie eine Richtlinie verwenden. IAM Damit diese Richtlinie wirksam ist, muss die Schlüsselrichtlinie für jeden Schlüssel es dem Konto ermöglichen, IAM Richtlinien zur Steuerung des Zugriffs auf den Schlüssel zu verwenden.
Die folgende IAM Richtlinie ermöglicht es den Prinzipalen beispielsweise, Schlüssel zu erstellen. Sie ermöglicht ihnen auch, Tags für alle Schlüssel im angegebenen Konto zu erstellen und zu verwalten. Diese Kombination ermöglicht es den Prinzipalen, den Tags-Parameter des CreateKeyVorgangs zu verwenden, um einem Schlüssel während der Erstellung Tags hinzuzufügen.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "IAMPolicyCreateKeys", "Effect": "Allow", "Action": "payment-cryptography:CreateKey", "Resource": "*" }, { "Sid": "IAMPolicyTags", "Effect": "Allow", "Action": [ "payment-cryptography:TagResource", "payment-cryptography:UntagResource", "payment-cryptography:ListTagsForResource" ], "Resource": "arn:aws:payment-cryptography:*:111122223333:key/*" } ] }
Beschränken von Tag-Berechtigungen
Sie können Markierungs-Berechtigungen einschränken, indem Sie Richtlinienbedingungen verwenden. Die folgenden Richtlinienbedingungen können auf die payment-cryptography:TagResource- und payment-cryptography:UntagResource-Berechtigungen angewendet werden. Beispielsweise können Sie mit der aws:RequestTag/tag-key-Bedingung einem Prinzipal erlauben, nur bestimmte Tags hinzuzufügen, oder verhindern, dass ein Prinzipal Tags mit bestimmten Tag-Schlüsseln hinzufügen kann.
-
aws:ResourceTag/tag-key (nur IAM Richtlinien)
Wenn Sie Tags verwenden, um den Zugriff auf Schlüssel zu kontrollieren, empfiehlt es sich, den aws:TagKeys Bedingungsschlüssel aws:RequestTag/tag-key oder zu verwenden, um zu bestimmen, welche Tags (oder Tag-Schlüssel) zulässig sind.
Die folgende IAM Richtlinie ähnelt beispielsweise der vorherigen. Diese Richtlinie erlaubt den Prinzipalen jedoch das Erstellen von Tags (TagResource) und das Löschen von Tags (UntagResource) nur für Tags mit einem Project-Tag-Schlüssel.
Da TagResource UntagResource Anfragen mehrere Tags enthalten können, müssen Sie einen Operator ForAllValues or ForAnyValue set mit der TagKeys Bedingung aws: angeben. Der ForAnyValue-Operator erfordert, dass mindestens einer der Tag-Schlüssel in der Anforderung mit einem der Tag-Schlüssel in der Richtlinie übereinstimmen muss. Der ForAllValues-Operator erfordert, dass alle der Tag-Schlüssel in der Anforderung mit einem der Tag-Schlüssel in der Richtlinie übereinstimmen müssen. Der ForAllValues Operator gibt auch zurück, true wenn die Anfrage keine Tags enthält, schlägt jedoch TagResource UntagResource fehl, wenn keine Tags angegeben sind. Einzelheiten zu den Set-Operatoren finden Sie im IAMBenutzerhandbuch unter Verwenden mehrerer Schlüssel und Werte.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "IAMPolicyCreateKey", "Effect": "Allow", "Action": "payment-cryptography:CreateKey", "Resource": "*" }, { "Sid": "IAMPolicyViewAllTags", "Effect": "Allow", "Action": "payment-cryptography:ListResourceTags", "Resource": "arn:aws:payment-cryptography:*:111122223333:key/*" }, { "Sid": "IAMPolicyManageTags", "Effect": "Allow", "Action": [ "payment-cryptography:TagResource", "payment-cryptography:UntagResource" ], "Resource": "arn:aws:payment-cryptography:*:111122223333:key/*", "Condition": { "ForAllValues:StringEquals": {"aws:TagKeys": "Project"} } } ] }
