Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Uso de etiquetas para controlar el acceso a los recursos de Elastic Beanstalk
En este tema se explica cómo el control de acceso basado en etiquetas puede ayudarle a crear y gestionar políticas de IAM.
Podemos utilizar condiciones en declaraciones de directiva de usuario de IAM para configurar permisos de acceso a recursos de Elastic Beanstalk. Para obtener más información sobre las condiciones de declaración de política, consulte Recursos y condiciones para las acciones de Elastic Beanstalk. El uso de etiquetas en las condiciones es una manera de controlar el acceso a los recursos y las solicitudes. Para obtener información sobre cómo etiquetar recursos de Elastic Beanstalk, consulte Etiquetar recursos de la aplicación Elastic Beanstalk.
Al diseñar políticas de IAM, es posible que se establezcan permisos detallados mediante la concesión de acceso a recursos específicos. A medida que crezca la cantidad de recursos que administra, esta tarea será más complicada. El etiquetado de recursos y uso de etiquetas en las condiciones de instrucción de política pueden facilitar esta tarea. Puede conceder acceso de forma masiva a cualquier recurso con una determinada etiqueta. A continuación, aplique repetidamente esta etiqueta a los recursos pertinentes durante la creación o después.
Las etiquetas se pueden asociar al recurso o pasarse dentro de la solicitud a los servicios que admiten etiquetado. En Elastic Beanstalk, los recursos pueden tener etiquetas y algunas acciones pueden incluir etiquetas. Cuando crea una política de IAM, puede utilizar claves de condición de etiqueta para controlar las siguientes condiciones:
-
Los usuarios que pueden realizar acciones en un entorno, en función de las etiquetas que ya tiene.
-
Las etiquetas que se pueden pasar en la solicitud de una acción.
-
Si se pueden utilizar claves de etiqueta específicas en una solicitud.
Para la sintaxis y semántica completas de las claves de condición de etiquetas, consulte Control del acceso mediante etiquetas en la Guía del usuario de IAM.
Ejemplos de condiciones de etiqueta en las políticas
Los siguientes ejemplos muestran cómo especificar condiciones de etiquetas en las políticas para los usuarios de Elastic Beanstalk.
ejemplo 1: Limitar acciones en función de etiquetas en la solicitud
La política de usuario administrada de Elastic Beanstalk AdministratorAccess-AWSElasticBeanstalk proporciona a los usuarios permisos ilimitados para realizar cualquier acción de Elastic Beanstalk en cualquier recurso administrado por Elastic Beanstalk.
La siguiente política limita esta posibilidad y deniega el permiso a usuarios no autorizados para crear entornos de producción de Elastic Beanstalk. Para ello, deniega la acción CreateEnvironment
si la solicitud especifica una etiqueta denominada stage
con uno de los valores gamma
o prod
. Además, la política impide que estos usuarios no autorizados manipulen la fase de los entornos de producción no permitiendo acciones de modificación de etiquetas para incluir estos mismos valores de etiqueta o para eliminar la etiqueta stage
completamente. El administrador de un cliente debe asociar esta política de IAM a los usuarios de IAM no autorizados, además de la política de usuario administrada.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "elasticbeanstalk:CreateEnvironment", "elasticbeanstalk:AddTags" ], "Resource": "*", "Condition": { "StringEquals": { "aws:RequestTag/stage": ["gamma", "prod"] } } }, { "Effect": "Deny", "Action": [ "elasticbeanstalk:RemoveTags" ], "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "aws:TagKeys": ["stage"] } } } ] }
ejemplo 2: Limitar acciones en función de etiquetas de recursos
La política de usuario administrada de Elastic Beanstalk AdministratorAccess-AWSElasticBeanstalk proporciona a los usuarios permisos ilimitados para realizar cualquier acción de Elastic Beanstalk en cualquier recurso administrado por Elastic Beanstalk.
La siguiente política deniega permiso a usuarios no autorizados para realizar acciones en entornos de producción de Elastic Beanstalk. Para ello, deniega acciones específicas si el entorno tiene una etiqueta denominada stage
con uno de los valores gamma
o prod
. El administrador de un cliente debe asociar esta política de IAM a los usuarios de IAM no autorizados, además de la política de usuario administrada.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "elasticbeanstalk:AddTags", "elasticbeanstalk:RemoveTags", "elasticbeanstalk:DescribeEnvironments", "elasticbeanstalk:TerminateEnvironment", "elasticbeanstalk:UpdateEnvironment", "elasticbeanstalk:ListTagsForResource" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceTag/stage": ["gamma", "prod"] } } } ] }
ejemplo 3: Permitir acciones en función de etiquetas en la solicitud
La política siguiente concede a los usuarios permiso para crear aplicaciones de desarrollo de Elastic Beanstalk.
Para ello, permite las acciones CreateApplication
y AddTags
si la solicitud especifica una etiqueta denominada stage
con el valor development
. La condición aws:TagKeys
garantiza que el usuario no pueda añadir otras claves de etiqueta. En particular, garantiza la distinción entre mayúsculas y minúsculas de la clave de etiqueta stage
. Tenga en cuenta que esta política es útil para los usuarios de IAM que no tienen la política de usuario administrada de Elastic Beanstalk AdministratorAccess-AWSElasticBeanstalk. La política administrada proporciona a los usuarios permisos ilimitados para realizar cualquier acción de Elastic Beanstalk en cualquier recurso administrado por Elastic Beanstalk.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "elasticbeanstalk:CreateApplication", "elasticbeanstalk:AddTags" ], "Resource": "*", "Condition": { "StringEquals": { "aws:RequestTag/stage": "development" }, "ForAllValues:StringEquals": { "aws:TagKeys": ["stage"] } } } ] }
ejemplo 4: Permitir acciones en función de etiquetas de recursos
La siguiente política concede a los usuarios permiso para realizar acciones sobre aplicaciones de desarrollo de Elastic Beanstalk y obtener información sobre ellas.
Para ello, permite las acciones específicas si la aplicación especifica una etiqueta denominada stage
con el valor development
. La condición aws:TagKeys
garantiza que el usuario no pueda añadir otras claves de etiqueta. En particular, garantiza la distinción entre mayúsculas y minúsculas de la clave de etiqueta stage
. Tenga en cuenta que esta política es útil para los usuarios de IAM que no tienen la política de usuario administrada de Elastic Beanstalk AdministratorAccess-AWSElasticBeanstalk. La política administrada proporciona a los usuarios permisos ilimitados para realizar cualquier acción de Elastic Beanstalk en cualquier recurso administrado por Elastic Beanstalk.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "elasticbeanstalk:UpdateApplication", "elasticbeanstalk:DeleteApplication", "elasticbeanstalk:DescribeApplications" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceTag/stage": "development" }, "ForAllValues:StringEquals": { "aws:TagKeys": ["stage"] } } } ] }