Control del acceso a recursos de EC2 mediante etiquetas de recursos - Amazon Elastic Compute Cloud

Control del acceso a recursos de EC2 mediante etiquetas de recursos

Cuando crea una política de IAM que concede a los usuarios permiso para utilizar recursos de EC2, puede incluir información de etiquetas en el elemento Condition de la política para controlar el acceso basado en etiquetas. Esto se conoce como control de acceso basado en atributos (ABAC). El ABAC le proporciona un mejor control sobre los recursos que un usuario puede modificar, utilizar o eliminar. Para obtener más información, consulte ¿Qué es ABAC para AWS?

Por ejemplo, puede crear una política que permita a los usuarios terminar una instancia, pero que deniegue la acción si la instancia tiene la etiqueta environment=production. Para ello, utilice la clave de condición aws:ResourceTag para permitir o denegar el acceso al recurso en función de las etiquetas que están asociadas al recurso.

"StringEquals": { "aws:ResourceTag/environment": "production" }

Para saber si una acción de la API de Amazon EC2 permite controlar el acceso mediante la clave de condición aws:ResourceTag, consulte Acciones, recursos y claves de condición para Amazon EC2. Tenga en cuenta que las acciones Describe no admiten permisos de nivel de recursos, de forma que debe especificarlas en una instrucción aparte sin condiciones.

Para ver ejemplos de políticas de IAM, consulte Políticas de ejemplo para trabajar con la AWS CLI o un SDK de AWS.

Si permite o deniega a los usuarios acceso a recursos en función de etiquetas, debe considerar denegar explícitamente a los usuarios la posibilidad de agregar estas etiquetas o retirarlas de los mismos recursos. De lo contrario, es posible que un usuario eluda sus restricciones y obtenga acceso a un recurso modificando sus etiquetas.