Uso de políticas basadas en etiquetas con AWS Global Accelerator - AWS Global Accelerator

Uso de políticas basadas en etiquetas con AWS Global Accelerator

Al diseñar políticas de IAM, es posible establecer permisos pormenorizados mediante la concesión de acceso a recursos específicos. Sin embargo, a medida que aumente la cantidad de recursos que administra, esta tarea será más complicada. El etiquetado de recursos y el uso de etiquetas en las condiciones de instrucción de política pueden facilitar esta tarea. Puede conceder acceso de forma masiva a cualquier recurso que tiene una determinada etiqueta. Puede aplicar repetidamente esta etiqueta a los recursos pertinentes al crear el recurso o al actualizarlo después.

El uso de etiquetas en las condiciones es una manera de controlar el acceso a los recursos y las solicitudes. Las etiquetas se pueden asociar a un recurso o pasarse dentro de la solicitud a los servicios que admiten etiquetado. En Global Accelerator, solo los aceleradores pueden incluir etiquetas. Para obtener más información sobre el etiquetado en Global Accelerator, consulte Etiquetado en AWS Global Accelerator.

Al crear una política de IAM, puede utilizar las claves de condición de etiqueta para controlar:

  • Los usuarios que pueden realizar acciones en un acelerador, en función de las etiquetas que ya tiene.

  • Las etiquetas que se pueden pasar en la solicitud de una acción.

  • Si se pueden utilizar claves de etiqueta específicas en una solicitud.

Por ejemplo, la política de usuario administrada GlobalAcceleratorFullAccess de AWS proporciona a los usuarios permisos ilimitados para realizar cualquier acción de Global Accelerator en cualquier recurso. La siguiente política limita este poder y niega permiso a usuarios no autorizados para realizar acciones de Global Accelerator en entornos de aceleradores de producción. El administrador de un cliente debe asociar esta política de IAM a los usuarios de IAM no autorizados, además de la política de usuario administrada.

{ 
   "Version":"2012-10-17",
   "Statement":[ 
      { 
         "Effect":"Deny",
         "Action":"*",
         "Resource":"*",
         "Condition":{ 
            "ForAnyValue:StringEquals":{ 
               "aws:RequestTag/stage":"prod"
            }
         }
      },
      { 
         "Effect":"Deny",
         "Action":"*",
         "Resource":"*",
         "Condition":{ 
            "ForAnyValue:StringEquals":{ 
               "aws:ResourceTag/stage":"prod"
            }
         }
      }
   ]
}

Para conocer la sintaxis y la semántica completa de las claves de condición de las etiquetas, consulte Control del acceso mediante etiquetas de IAM en la Guía del usuario de IAM.