Ende des Supporthinweises: Am 10. September 2025 AWS
wird der Support für AWS RoboMaker eingestellt. Nach dem 10. September 2025 können Sie nicht mehr auf die AWS RoboMaker Konsole oder die AWS RoboMaker Ressourcen zugreifen. Weitere Informationen AWS Batch zur Umstellung auf containerisierte Simulationen finden Sie in diesem Blogbeitrag.
Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Verwenden von Tags mit IAM-Richtlinien
Sie können Tag-basierte Berechtigungen auf Ressourcenebene in den IAM-Richtlinien anwenden, die Sie für AWS RoboMaker -API-Aktionen verwenden. Dies ermöglicht Ihnen eine bessere Kontrolle darüber, welche Ressourcen ein Benutzer erstellen, ändern oder verwenden kann. Sie können das Condition-Element (auch als Condition-Block bezeichnet) mit den folgenden Bedingungskontextschlüsseln und Werten in einer IAM-Richtlinie zum Steuern des Benutzerzugriffs (Berechtigungen) basierend auf den Tags einer Ressource verwenden:
-
Verwenden Sie
aws:ResourceTag/, um Benutzeraktionen für Ressourcen mit bestimmten Tags zuzulassen oder zu verweigern.tag-key:tag-value -
Verwenden Sie
aws:RequestTag/, um festzulegen, dass ein bestimmtes Tag verwendet (oder nicht verwendet) wird, wenn Sie eine API-Anfrage stellen, um eine Ressource zu erstellen oder zu ändern, die Tags zulässt.tag-key:tag-value -
Verwenden Sie
aws:TagKeys: [, um zu verlangen, dass ein bestimmter Satz von Tag-Schlüsseln verwendet wird (oder nicht), wenn eine API-Anforderung zum Erstellen einer Ressource durchgeführt wird, die Tags zulässt.tag-key, ...]
Anmerkung
Die Bedingungskontextschlüssel und -werte in einer IAM-Richtlinie gelten nur für die AWS RoboMaker -Aktionen, bei denen eine Kennung für eine Ressource, die Tags zulässt, ein erforderlicher Parameter ist. Beispielsweise ListFleetswird die Verwendung von auf der Grundlage von Zustandskontextschlüsseln und -werten nicht erlaubt oder verweigert, weil in dieser Anfrage auf keine markierbare Ressource (Flotte, Roboter, Roboteranwendung, Simulationsanwendung, Simulationsaufgabe, Einsatzauftrag) verwiesen wird.
Weitere Informationen finden Sie unter Steuern des Zugriffs auf AWS Ressourcen mithilfe von Tags im AWS Identity and Access Management-Benutzerhandbuch. Der Abschnitt IAM-JSON-Richtlinienreferenz dieses Handbuchs enthält die detaillierte Syntax sowie Beschreibungen und Beispiele für Elemente, Variablen und die Auswertungslogik von JSON-Richtlinien in IAM.
Die folgende Beispielrichtlinie wendet zwei auf Tags basierende Einschränkungen an. Ein von dieser Richtlinie eingeschränkter IAM-Benutzer:
-
Es kann kein Roboter mit Tag erstellt werden
"env=prod"(im Beispiel siehe Zeile"aws:RequestTag/env" : "prod"). -
Ein Roboter mit einem vorhandenen Tag kann nicht gelöscht werden
"env=prod"(im Beispiel siehe Zeile"aws:ResourceTag/env" : "prod").
{ "Version" : "2012-10-17", "Statement" : [ { "Effect" : "Deny", "Action" : "robomaker:CreateRobot", "Resource" : "*", "Condition" : { "StringEquals" : { "aws:RequestTag/env" : "prod" } } }, { "Effect" : "Deny", "Action" : "robomaker:DeleteRobot", "Resource" : "*", "Condition" : { "StringEquals" : { "aws:ResourceTag/env" : "prod" } } }, { "Effect": "Allow", "Action": "robomaker:*", "Resource": "*" } ] }
Sie können auch mehrere Tag-Werte für einen bestimmten Tag-Schlüssel angeben, indem Sie sie wie folgt in einer Liste angeben:
"StringEquals" : { "aws:ResourceTag/env" : ["dev", "test"] }
Anmerkung
Wenn Sie Benutzern den Zugriff zu Ressourcen auf der Grundlage von Tags (Markierungen) gewähren oder verweigern, müssen Sie daran denken, Benutzern explizit das Hinzufügen und Entfernen dieser Tags (Markierungen) von den jeweiligen Ressourcen unmöglich zu machen. Andernfalls können Benutzer möglicherweise Ihre Einschränkungen umgehen und sich Zugriff auf eine Ressource verschaffen, indem sie ihre Tags (Markierungen) modifizieren.
