Aktionen, Ressourcen und Bedingungsschlüssel für AWS IoT Greengrass - Service-Authorization-Referenz

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Aktionen, Ressourcen und Bedingungsschlüssel für AWS IoT Greengrass

AWS IoT Greengrass (Dienstpräfix:greengrass) stellt die folgenden dienstspezifischen Ressourcen, Aktionen und Bedingungskontextschlüssel zur Verwendung in IAM Berechtigungsrichtlinien bereit.

Referenzen:

Von AWS IoT Greengrass definierte Aktionen

Sie können die folgenden Aktionen im Action Element einer IAM Richtlinienerklärung angeben. Verwenden Sie Richtlinien, um Berechtigungen zum Ausführen einer Operation in AWS zu erteilen. Wenn Sie eine Aktion in einer Richtlinie verwenden, gewähren oder verweigern Sie normalerweise den Zugriff auf den API Vorgang oder CLI Befehl mit demselben Namen. Dabei kann es mitunter vorkommen, dass eine einzige Aktion den Zugriff auf mehr als eine Operation steuert. Alternativ erfordern einige Vorgänge mehrere verschiedene Aktionen.

Die Spalte Resource types (Ressourcentypen) der Aktionstabelle gibt an, ob die Aktion Berechtigungen auf Ressourcenebene unterstützt. Wenn es keinen Wert für diese Spalte gibt, müssen Sie alle Ressourcen ("*") im Element Resource Ihrer Richtlinienanweisung angeben. Wenn die Spalte einen Ressourcentyp enthält, können Sie in ARN einer Anweisung mit dieser Aktion einen Ressourcentyp angeben. Wenn für die Aktion eine oder mehrere Ressourcen erforderlich sind, muss der Aufrufer die Erlaubnis haben, die Aktion mit diesen Ressourcen zu verwenden. Erforderliche Ressourcen sind in der Tabelle mit einem Sternchen (*) gekennzeichnet. Wenn Sie den Ressourcenzugriff mit dem Resource Element in einer IAM Richtlinie einschränken, müssen Sie für jeden erforderlichen Ressourcentyp ein ARN Oder-Muster angeben. Einige Aktionen unterstützen mehrere Ressourcentypen. Wenn der Ressourcentyp optional ist (nicht als erforderlich angegeben), können Sie sich für einen der optionalen Ressourcentypen entscheiden.

Die Spalte Bedingungsschlüssel der Tabelle der Aktionen enthält Schlüssel, die Sie im Element Condition einer Richtlinienanweisung angeben können. Weitere Informationen zu den Bedingungsschlüsseln, die den Ressourcen für den Service zugeordnet sind, finden Sie in der Spalte Bedingungsschlüssel der Tabelle der Ressourcentypen.

Anmerkung

Die Ressourcenbedingungsschlüssel sind in der Tabelle Ressourcentypen enthalten. Sie finden einen Link zu dem Ressourcentyp, der für eine Aktion gilt, in der Spalte Ressourcentypen (*erforderlich) der Tabelle „Aktionen“. Der Ressourcentyp in der Tabelle „Ressourcentypen“ enthält die Spalte Bedingungsschlüssel. Das sind die Ressourcenbedingungsschlüssel, die für eine Aktion in der Tabelle „Aktionen“ gelten.

Details zu den Spalten in der folgenden Tabelle finden Sie in der Tabelle Aktionen

Aktionen Beschreibung Zugriffsebene Ressourcentypen (*erforderlich) Bedingungsschlüssel Abhängige Aktionen
AssociateRoleToGroup Gewährt die Berechtigung zum Verknüpfen einer Rolle mit einer Gruppe. Die Berechtigungen der Rolle müssen es den Kernfunktionen und Konnektoren von Greengrass von Lambda ermöglichen, Aktionen in anderen Diensten auszuführen. AWS Schreiben

group*

AssociateServiceRoleToAccount Erteilt die Erlaubnis, Ihrem Konto eine Rolle zuzuordnen. AWS IoT Greengrass verwendet diese Rolle, um auf Ihre Lambda-Funktionen und AWS IoT-Ressourcen zuzugreifen. Berechtigungsverwaltung
CreateConnectorDefinition Gewährt die Berechtigung zum Erstellen einer Konnektordefinition Write

aws:RequestTag/${TagKey}

aws:TagKeys

CreateConnectorDefinitionVersion Gewährt die Berechtigung zum Erstellen einer Version einer vorhandenen Konnektordefinition. Write

connectorDefinition*

CreateCoreDefinition Gewährt die Berechtigung zum Erstellen einer Core-Definition Write

aws:RequestTag/${TagKey}

aws:TagKeys

CreateCoreDefinitionVersion Gewährt die Berechtigung zum Erstellen einer Version einer vorhandenen Core-Definition. Greengrass-Gruppen müssen jeweils genau einen Greengrass Core enthalten. Write

coreDefinition*

CreateDeployment Gewährt die Berechtigung zum Erstellen einer Bereitstellung Write

group*

CreateDeviceDefinition Gewährt die Berechtigung zum Erstellen einer Gerätedefinition Write

aws:RequestTag/${TagKey}

aws:TagKeys

CreateDeviceDefinitionVersion Gewährt die Berechtigung zum Erstellen einer Version einer vorhandenen Gerätedefinition Write

deviceDefinition*

CreateFunctionDefinition Gewährt die Berechtigung zum Erstellen einer Lambda-Funktion, die in einer Gruppe verwendet werden soll, die eine Liste mit Lambda-Funktionen und deren Konfigurationen enthält Write

aws:RequestTag/${TagKey}

aws:TagKeys

CreateFunctionDefinitionVersion Gewährt die Berechtigung zum Erstellen einer Version einer vorhandenen Lambda-Funktionsdefinition Schreiben

functionDefinition*

CreateGroup Gewährt die Berechtigung zum Erstellen einer Gruppe Schreiben

aws:RequestTag/${TagKey}

aws:TagKeys

CreateGroupCertificateAuthority Gewährt die Berechtigung zum Erstellen einer CA für die Gruppe oder zum Rotieren der vorhandenen CA Write

group*

CreateGroupVersion Gewährt die Berechtigung zum Erstellen einer Version einer Gruppe, die bereits definiert wurde Write

group*

CreateLoggerDefinition Gewährt die Berechtigung zum Erstellen einer Logger-Definition Write

aws:RequestTag/${TagKey}

aws:TagKeys

CreateLoggerDefinitionVersion Gewährt die Berechtigung zum Erstellen einer Version einer vorhandenen Logger-Definition Write

loggerDefinition*

CreateResourceDefinition Gewährt die Berechtigung zum Erstellen einer Ressourcendefinition, die eine Liste der in einer Gruppe zu verwendenden Ressourcen enthält Write

aws:RequestTag/${TagKey}

aws:TagKeys

CreateResourceDefinitionVersion Gewährt die Berechtigung zum Erstellen einer Version einer vorhandenen Ressourcendefinition Schreiben

resourceDefinition*

CreateSoftwareUpdateJob Erteilt die Erlaubnis, einen AWS IoT-Job zu erstellen, der Ihre Greengrass-Kerne veranlasst, die auf ihnen ausgeführte Software zu aktualisieren Schreiben
CreateSubscriptionDefinition Gewährt die Berechtigung zum Erstellen einer Abonnementdefinition Write

aws:RequestTag/${TagKey}

aws:TagKeys

CreateSubscriptionDefinitionVersion Gewährt die Berechtigung zum Erstellen einer Version einer vorhandenen Abonnementdefinition Write

subscriptionDefinition*

DeleteConnectorDefinition Gewährt die Berechtigung zum Löschen einer Konnektordefinition. Write

connectorDefinition*

DeleteCoreDefinition Gewährt die Berechtigung zum Löschen einer Core-Definition. Das Löschen einer Definition, die in einer Bereitstellung derzeit verwendet wird, wirkt sich auf künftige Bereitstellungen aus. Write

coreDefinition*

DeleteDeviceDefinition Gewährt die Berechtigung zum Löschen einer Gerätedefinition. Das Löschen einer Definition, die in einer Bereitstellung derzeit verwendet wird, wirkt sich auf künftige Bereitstellungen aus. Write

deviceDefinition*

DeleteFunctionDefinition Gewährt die Berechtigung zum Löschen einer Lambda-Funktionsdefinition. Das Löschen einer Definition, die in einer Bereitstellung derzeit verwendet wird, wirkt sich auf künftige Bereitstellungen aus. Write

functionDefinition*

DeleteGroup Gewährt die Berechtigung zum Löschen einer Gruppe, die derzeit in einer Bereitstellung nicht verwendet wird. Write

group*

DeleteLoggerDefinition Gewährt die Berechtigung zum Löschen einer Logger-Definition. Das Löschen einer Definition, die in einer Bereitstellung derzeit verwendet wird, wirkt sich auf künftige Bereitstellungen aus. Write

loggerDefinition*

DeleteResourceDefinition Gewährt die Berechtigung zum Löschen einer Ressourcendefinition. Write

resourceDefinition*

DeleteSubscriptionDefinition Gewährt die Berechtigung zum Löschen einer Abonnementdefinition. Das Löschen einer Definition, die in einer Bereitstellung derzeit verwendet wird, wirkt sich auf künftige Bereitstellungen aus. Write

subscriptionDefinition*

DisassociateRoleFromGroup Gewährt die Berechtigung zum Aufheben der Mapping zwischen Rolle und Gruppe. Write

group*

DisassociateServiceRoleFromAccount Gewährt die Berechtigung zum Aufheben der Mapping zwischen der Servicerolle und einem Konto. Ohne Servicerolle funktionieren Bereitstellungen nicht. Write
Discover Gewährt die Berechtigung zum Abrufen von Informationen, die für die Verbindung mit einem Greengrass-Kern erforderlich sind. Read

thing*

GetAssociatedRole Gewährt die Berechtigung zum Abrufen der Rolle, die einer Gruppe zugeordnet ist. Read

group*

GetBulkDeploymentStatus Gewährt die Berechtigung zum Zurückgeben des Status einer Massenbereitstellung. Read

bulkDeployment*

GetConnectivityInfo Gewährt die Berechtigung zum Abrufen der Verbindungsinformationen für einen Core. Read

connectivityInfo*

GetConnectorDefinition Gewährt die Berechtigung zum Abrufen von Informationen zu einer Konnektordefinition. Read

connectorDefinition*

GetConnectorDefinitionVersion Gewährt die Berechtigung zum Abrufen von Informationen zu einer Konnektordefinitionsversion. Read

connectorDefinition*

connectorDefinitionVersion*

GetCoreDefinition Gewährt die Berechtigung zum Abrufen von Informationen zu einer Core-Definition. Read

coreDefinition*

GetCoreDefinitionVersion Gewährt die Berechtigung zum Abrufen von Informationen zu einer Core-Definitionsversion. Read

coreDefinition*

coreDefinitionVersion*

GetDeploymentStatus Gewährt die Berechtigung zum Zurückgeben des Status einer Bereitstellung. Read

deployment*

group*

GetDeviceDefinition Gewährt die Berechtigung zum Abrufen von Informationen zu einer Gerätedefinition. Read

deviceDefinition*

GetDeviceDefinitionVersion Gewährt die Berechtigung zum Abrufen von Informationen zu einer Gerätedefinitionsversion. Read

deviceDefinition*

deviceDefinitionVersion*

GetFunctionDefinition Gewährt die Berechtigung zum Abrufen von Informationen zu einer Lambda-Funktionsdefinition, z. B. Erstellungszeit und neueste Version Read

functionDefinition*

GetFunctionDefinitionVersion Gewährt die Berechtigung zum Abrufen von Informationen zu einer Lambda-Funktionsdefinition, z. B. die in der Version enthaltenen Lambda-Funktionen und deren Konfigurationen Read

functionDefinition*

functionDefinitionVersion*

GetGroup Gewährt die Berechtigung zum Abrufen von Informationen zu einer Gruppe. Read

group*

GetGroupCertificateAuthority Gewährt die Berechtigung zum Zurückgeben des öffentlichen Schlüssels der CA, die einer Gruppe zugeordnet ist. Read

certificateAuthority*

group*

GetGroupCertificateConfiguration Gewährt die Berechtigung zum Abrufen der aktuellen Konfiguration für die CA, die von einer Gruppe verwendet wird. Read

group*

GetGroupVersion Gewährt die Berechtigung zum Abrufen von Informationen zu einer Gruppenversion. Read

group*

groupVersion*

GetLoggerDefinition Gewährt die Berechtigung zum Abrufen von Informationen zu einer Logger-Definition. Read

loggerDefinition*

GetLoggerDefinitionVersion Gewährt die Berechtigung zum Abrufen von Informationen zu einer Logger-Definitionsversion. Read

loggerDefinition*

loggerDefinitionVersion*

GetResourceDefinition Gewährt die Berechtigung zum Abrufen von Informationen zu einer Ressourcendefinition, z. B. Erstellungszeit und neueste Version Read

resourceDefinition*

GetResourceDefinitionVersion Gewährt die Berechtigung zum Abrufen von Informationen zu einer Ressourcendefinitionsversion ab, z. B. welche Ressourcen in der Version enthalten sind. Read

resourceDefinition*

resourceDefinitionVersion*

GetServiceRoleForAccount Gewährt die Berechtigung zum Abrufen der Servicerolle, die einem Konto zugeordnet ist. Read
GetSubscriptionDefinition Gewährt die Berechtigung zum Abrufen von Informationen zu einer Abonnementdefinition. Read

subscriptionDefinition*

GetSubscriptionDefinitionVersion Gewährt die Berechtigung zum Abrufen von Informationen zu einer Abonnementdefinitionsversion. Read

subscriptionDefinition*

subscriptionDefinitionVersion*

GetThingRuntimeConfiguration Gewährt die Berechtigung zum Abrufen der Laufzeitkonfiguration einer Sache Read

thingRuntimeConfig*

ListBulkDeploymentDetailedReports Gewährt die Berechtigung zum Abrufen eine paginierten Liste der Bereitstellungen, die in einer MassenbereitstellungsProduktion gestartet wurden, sowie ihres aktuellen Bereitstellungsstatus. Read

bulkDeployment*

ListBulkDeployments Gewährt die Berechtigung zum Abrufen einer Liste von Massenbereitstellungen. List
ListConnectorDefinitionVersions Gewährt die Berechtigung zum Auflisten der Versionen einer Konnektordefinition. List

connectorDefinition*

ListConnectorDefinitions Gewährt die Berechtigung zum Abrufen einer Liste der Konnektordefinitionen. List
ListCoreDefinitionVersions Gewährt die Berechtigung zum Auflisten der Versionen einer Core-Definition. List

coreDefinition*

ListCoreDefinitions Gewährt die Berechtigung zum Abrufen einer Liste der Core-Definitionen. List
ListDeployments Gewährt die Berechtigung zum Abrufen einer Liste aller Bereitstellungen für eine Gruppe. List

group*

ListDeviceDefinitionVersions Gewährt die Berechtigung zum Auflisten der Versionen einer Gerätedefinition. List

deviceDefinition*

ListDeviceDefinitions Gewährt die Berechtigung zum Abrufen einer Liste von Gerätedefinitionen. List
ListFunctionDefinitionVersions Gewährt die Berechtigung zum Auflisten der Versionen einer Lambda-Funktionsdefinition. List

functionDefinition*

ListFunctionDefinitions Gewährt die Berechtigung zum Abrufen einer Liste der Lambda-Funktionsdefinitionen. Auflisten
ListGroupCertificateAuthorities Erteilt die Berechtigung, eine aktuelle Liste CAs für eine Gruppe abzurufen Auflisten

group*

ListGroupVersions Gewährt die Berechtigung zum Auflisten der Versionen einer Gruppe. List

group*

ListGroups Gewährt die Berechtigung zum Abrufen einer Liste der Gruppen. List
ListLoggerDefinitionVersions Gewährt die Berechtigung zum Auflisten der Versionen einer Logger-Definition. List

loggerDefinition*

ListLoggerDefinitions Gewährt die Berechtigung zum Abrufen einer Liste der Logger-Definitionen. List
ListResourceDefinitionVersions Gewährt die Berechtigung zum Auflisten der Versionen einer Ressourcendefinition. List

resourceDefinition*

ListResourceDefinitions Gewährt die Berechtigung zum Abrufen einer Liste der Ressourcendefinitionen. List
ListSubscriptionDefinitionVersions Gewährt die Berechtigung zum Auflisten der Versionen einer Abonnementdefinition. List

subscriptionDefinition*

ListSubscriptionDefinitions Gewährt die Berechtigung zum Abrufen einer Liste der Abonnementdefinitionen. List
ListTagsForResource Gewährt die Berechtigung zum Auflisten der Tags für eine Ressource Read

bulkDeployment

connectorDefinition

coreDefinition

deviceDefinition

functionDefinition

group

loggerDefinition

resourceDefinition

subscriptionDefinition

aws:RequestTag/${TagKey}

aws:TagKeys

ResetDeployments Gewährt die Berechtigung zum Zurücksetzen der Bereitstellungen einer Gruppe. Write

group*

StartBulkDeployment Gewährt die Berechtigung zum Bereitstellen mehrerer Gruppen in einer Produktion. Write

aws:RequestTag/${TagKey}

aws:TagKeys

StopBulkDeployment Gewährt die Berechtigung zum Anhalten der Ausführung einer Massenbereitstellung. Write

bulkDeployment*

TagResource Gewährt die Berechtigung zum Hinzufügen von Tags zu einer Ressource Markieren

bulkDeployment

connectorDefinition

coreDefinition

deviceDefinition

functionDefinition

group

loggerDefinition

resourceDefinition

subscriptionDefinition

aws:RequestTag/${TagKey}

aws:TagKeys

UntagResource Gewährt die Berechtigung zum Entfernen von Tags aus einer Ressource Markieren

bulkDeployment

connectorDefinition

coreDefinition

deviceDefinition

functionDefinition

group

loggerDefinition

resourceDefinition

subscriptionDefinition

aws:TagKeys

UpdateConnectivityInfo Gewährt die Berechtigung zum Aktualisieren der Verbindungsinformationen für einen Greengrass Core. Alle Geräte, die zu der Gruppe gehören, die diesen Core enthält, empfangen diese Informationen, um den Speicherort des Cores ermitteln und eine Verbindung zu diesem herzustellen. Write

connectivityInfo*

UpdateConnectorDefinition Gewährt die Berechtigung zum Aktualisieren einer Konnektordefinition. Write

connectorDefinition*

UpdateCoreDefinition Gewährt die Berechtigung zum Aktualisieren einer Core-Definition. Write

coreDefinition*

UpdateDeviceDefinition Gewährt die Berechtigung zum Aktualisieren einer Gerätedefinition. Write

deviceDefinition*

UpdateFunctionDefinition Gewährt die Berechtigung zum Aktualisieren einer Lambda-Funktionsdefinition. Write

functionDefinition*

UpdateGroup Gewährt die Berechtigung zum Aktualisieren einer Gruppe. Write

group*

UpdateGroupCertificateConfiguration Gewährt die Berechtigung zum Aktualisieren der Zertifikatablaufdauer für eine Gruppe. Write

group*

UpdateLoggerDefinition Gewährt die Berechtigung zum Aktualisieren einer Logger-Definition. Write

loggerDefinition*

UpdateResourceDefinition Gewährt die Berechtigung zum Aktualisieren einer Ressourcendefinition. Write

resourceDefinition*

UpdateSubscriptionDefinition Gewährt die Berechtigung zum Aktualisieren einer Abonnementdefinition. Write

subscriptionDefinition*

UpdateThingRuntimeConfiguration Gewährt die Berechtigung zum Aktualisieren der Laufzeitkonfiguration eines Dings Write

thingRuntimeConfig*

Von AWS IoT Greengrass definierte Ressourcentypen

Die folgenden Ressourcentypen werden von diesem Dienst definiert und können als Resource Element von IAM Berechtigungsrichtlinienanweisungen verwendet werden. Jede Aktion in der Tabelle Aktionen identifiziert die Ressourcentypen, die mit der Aktion angegeben werden können. Ein Ressourcentyp kann auch definieren, welche Bedingungsschlüssel Sie in einer Richtlinie einschließen können. Diese Schlüssel werden in der letzten Spalte der Tabelle der Ressourcentypen angezeigt. Details zu den Spalten in der folgenden Tabelle finden Sie in der Tabelle Resource types.

Ressourcentypen ARN Bedingungsschlüssel
connectivityInfo arn:${Partition}:greengrass:${Region}:${Account}:/greengrass/things/${ThingName}/connectivityInfo
certificateAuthority arn:${Partition}:greengrass:${Region}:${Account}:/greengrass/groups/${GroupId}/certificateauthorities/${CertificateAuthorityId}
deployment arn:${Partition}:greengrass:${Region}:${Account}:/greengrass/groups/${GroupId}/deployments/${DeploymentId}
bulkDeployment arn:${Partition}:greengrass:${Region}:${Account}:/greengrass/bulk/deployments/${BulkDeploymentId}

aws:ResourceTag/${TagKey}

group arn:${Partition}:greengrass:${Region}:${Account}:/greengrass/groups/${GroupId}

aws:ResourceTag/${TagKey}

groupVersion arn:${Partition}:greengrass:${Region}:${Account}:/greengrass/groups/${GroupId}/versions/${VersionId}
coreDefinition arn:${Partition}:greengrass:${Region}:${Account}:/greengrass/definition/cores/${CoreDefinitionId}

aws:ResourceTag/${TagKey}

coreDefinitionVersion arn:${Partition}:greengrass:${Region}:${Account}:/greengrass/definition/cores/${CoreDefinitionId}/versions/${VersionId}
deviceDefinition arn:${Partition}:greengrass:${Region}:${Account}:/greengrass/definition/devices/${DeviceDefinitionId}

aws:ResourceTag/${TagKey}

deviceDefinitionVersion arn:${Partition}:greengrass:${Region}:${Account}:/greengrass/definition/devices/${DeviceDefinitionId}/versions/${VersionId}
functionDefinition arn:${Partition}:greengrass:${Region}:${Account}:/greengrass/definition/functions/${FunctionDefinitionId}

aws:ResourceTag/${TagKey}

functionDefinitionVersion arn:${Partition}:greengrass:${Region}:${Account}:/greengrass/definition/functions/${FunctionDefinitionId}/versions/${VersionId}
subscriptionDefinition arn:${Partition}:greengrass:${Region}:${Account}:/greengrass/definition/subscriptions/${SubscriptionDefinitionId}

aws:ResourceTag/${TagKey}

subscriptionDefinitionVersion arn:${Partition}:greengrass:${Region}:${Account}:/greengrass/definition/subscriptions/${SubscriptionDefinitionId}/versions/${VersionId}
loggerDefinition arn:${Partition}:greengrass:${Region}:${Account}:/greengrass/definition/loggers/${LoggerDefinitionId}

aws:ResourceTag/${TagKey}

loggerDefinitionVersion arn:${Partition}:greengrass:${Region}:${Account}:/greengrass/definition/loggers/${LoggerDefinitionId}/versions/${VersionId}
resourceDefinition arn:${Partition}:greengrass:${Region}:${Account}:/greengrass/definition/resources/${ResourceDefinitionId}

aws:ResourceTag/${TagKey}

resourceDefinitionVersion arn:${Partition}:greengrass:${Region}:${Account}:/greengrass/definition/resources/${ResourceDefinitionId}/versions/${VersionId}
connectorDefinition arn:${Partition}:greengrass:${Region}:${Account}:/greengrass/definition/connectors/${ConnectorDefinitionId}

aws:ResourceTag/${TagKey}

connectorDefinitionVersion arn:${Partition}:greengrass:${Region}:${Account}:/greengrass/definition/connectors/${ConnectorDefinitionId}/versions/${VersionId}
thing arn:${Partition}:iot:${Region}:${Account}:thing/${ThingName}
thingRuntimeConfig arn:${Partition}:greengrass:${Region}:${Account}:/greengrass/things/${ThingName}/runtimeconfig

Bedingungsschlüssel für AWS IoT Greengrass

AWS IoT Greengrass definiert die folgenden Bedingungsschlüssel, die im Condition Element einer IAM Richtlinie verwendet werden können. Diese Schlüssel können Sie verwenden, um die Bedingungen zu verfeinern, unter denen die Richtlinienanweisung angewendet wird. Details zu den Spalten in der folgenden Tabelle finden Sie in der Tabelle Condition keys (Bedingungsschlüssel).

Eine Liste der globalen Bedingungsschlüssel, die für alle Services verfügbar sind, finden Sie unter Verfügbare globale Bedingungsschlüssel.

Bedingungsschlüssel Beschreibung Typ
aws:RequestTag/${TagKey} Filtert den Zugriff basierend auf den zulässigen Werten für jedes der obligatorischen Tags String
aws:ResourceTag/${TagKey} Filtert den Zugriff nach dem Tag-Wert, der der Ressource zugeordnet ist String
aws:TagKeys Filtert den Zugriff nach dem Vorhandensein verbindlicher Tags in der Anforderung ArrayOfString