Control del acceso a recursos de Amazon ECS mediante etiquetas de recursos

Cuando crea una política de IAM que concede a los usuarios permiso para utilizar recursos de Amazon ECS, puede incluir información de etiquetas en el elemento Condition de la política para controlar el acceso basado en etiquetas. Esto se conoce como control de acceso basado en atributos (ABAC). El ABAC le proporciona un mejor control sobre los recursos que un usuario puede modificar, utilizar o eliminar. Para obtener más información, consulte ¿Qué es ABAC para AWS?

Por ejemplo, puede crear una política que permita a los usuarios eliminar un clúster, pero que deniegue la acción si el clúster tiene la etiqueta environment=production. Para ello, utilice la clave de condición aws:ResourceTag para permitir o denegar el acceso al recurso en función de las etiquetas que están asociadas al recurso.


"StringEquals": { "aws:ResourceTag/environment": "production" }

Para saber si una acción de la API de Amazon ECS permite controlar el acceso mediante la clave de condición aws:ResourceTag, consulte Acciones, recursos y claves de condición para Amazon ECS. Tenga en cuenta que las acciones Describe no admiten permisos de nivel de recursos, de forma que debe especificarlas en una instrucción aparte sin condiciones.

Para ver ejemplos de políticas de IAM, consulte Políticas de ejemplo de Amazon ECS .

Si permite o deniega a los usuarios acceso a recursos en función de etiquetas, debe considerar denegar explícitamente a los usuarios la posibilidad de agregar estas etiquetas o retirarlas de los mismos recursos. De lo contrario, es posible que un usuario eluda sus restricciones y obtenga acceso a un recurso modificando sus etiquetas.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Recursos de etiquetas durante la creación

Ejemplos de políticas