Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Control del acceso a las etiquetas
Para agregar, ver y eliminar etiquetas mediante el uso de la API, las entidades principales necesitan permisos de etiquetado en la política de IAM.
También puede limitar estos permisos mediante claves de condición AWS globales para las etiquetas. En la criptografía de AWS pagos, estas condiciones pueden controlar el acceso a las operaciones de etiquetado, como TagResourcey. UntagResource
Para obtener más información y políticas de ejemplo, consulte Control del acceso en función de las claves de etiquetaen la Guía del usuario de IAM.
Los permisos para crear y administrar etiquetas funcionan de la siguiente manera.
- criptografía de pagos: TagResource
-
Permite a las entidades principales agregar o editar etiquetas. Para agregar etiquetas al crear una clave, la entidad principal debe tener permiso en una política de IAM que no esté restringida a determinadas claves.
- criptografía de pago: ListTagsForResource
-
Permite a las entidades principales ver etiquetas en claves.
- criptografía de pago: UntagResource
-
Permite a las entidades principales eliminar etiquetas de las claves.
Permisos de etiquetas en políticas
Puede proporcionar permisos de etiquetas en una política de claves o una política de IAM. Por ejemplo, la siguiente política de claves de ejemplo ofrece permiso de etiquetar a los usuarios seleccionados en la clave. Da permiso a todos los usuarios que pueden asumir los roles de administrador o desarrollador de ejemplo para ver etiquetas.
{ "Version": "2012-10-17", "Id": "example-key-policy", "Statement": [ { "Sid": "Enable IAM User Permissions", "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::111122223333:root"}, "Action": "payment-cryptography:*", "Resource": "*" }, { "Sid": "Allow all tagging permissions", "Effect": "Allow", "Principal": {"AWS": [ "arn:aws:iam::111122223333:user/LeadAdmin", "arn:aws:iam::111122223333:user/SupportLead" ]}, "Action": [ "payment-cryptography:TagResource", "payment-cryptography:ListTagsForResource", "payment-cryptography:UntagResource" ], "Resource": "*" }, { "Sid": "Allow roles to view tags", "Effect": "Allow", "Principal": {"AWS": [ "arn:aws:iam::111122223333:role/Administrator", "arn:aws:iam::111122223333:role/Developer" ]}, "Action": "payment-cryptography:ListResourceTags", "Resource": "*" } ] }
Para conceder permiso de etiquetado de entidades principales en varias claves, puede usar una política de IAM. Para que esta política sea efectiva, la política de claves de cada clave debe permitir a la cuenta utilizar políticas de IAM para controlar el acceso a clave.
Por ejemplo, la siguiente política de IAM permite a las entidades principales crear claves. También les permite crear y administrar etiquetas en todas las claves de la cuenta especificada. Esta combinación permite a los directores utilizar el parámetro tags de la CreateKeyoperación para añadir etiquetas a una clave mientras la crean.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "IAMPolicyCreateKeys", "Effect": "Allow", "Action": "payment-cryptography:CreateKey", "Resource": "*" }, { "Sid": "IAMPolicyTags", "Effect": "Allow", "Action": [ "payment-cryptography:TagResource", "payment-cryptography:UntagResource", "payment-cryptography:ListTagsForResource" ], "Resource": "arn:aws:payment-cryptography:*:111122223333:key/*" } ] }
Limitar los permisos de etiqueta
Puede limitar los permisos de etiquetado mediante condiciones de política. Las siguientes condiciones de política se pueden aplicar a los permisos payment-cryptography:TagResource y payment-cryptography:UntagResource. Por ejemplo, puede utilizar la condición aws:RequestTag/tag-key para permitir que una entidad principal agregue solo etiquetas particulares, o impedir que una entidad principal agregue etiquetas con claves de etiqueta concretas.
Como práctica recomendada cuando utilice etiquetas para controlar el acceso a claves, utilice la clave de condición aws:RequestTag/tag-key o aws:TagKeys para determinar qué etiquetas (o claves de etiqueta) están permitidas.
Por ejemplo, la siguiente política IAM es similar a la anterior. Sin embargo, esta política permite a las entidades principales crear etiquetas (TagResource) y eliminar etiquetas UntagResource solo para etiquetas con una clave de etiqueta Project.
Como TagResource las UntagResource solicitudes pueden incluir varias etiquetas, debe especificar un operador ForAllValues o ForAnyValue configurarlo con la TagKeys condición aws:. El operador ForAnyValue requiere que al menos una de las claves de etiqueta de la solicitud coincida con una de las claves de etiqueta de la política. El operador ForAllValues requiere que todas las claves de etiqueta de la solicitud coincidan con una de las claves de etiqueta de la política. El ForAllValues operador también retorna true si no hay etiquetas en la solicitud, pero TagResource no lo UntagResource hace si no se especifica ninguna etiqueta. Para obtener información detallada sobre los operadores de conjunto, consulte Usar varias claves y valores en la Guía del usuario de IAM.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "IAMPolicyCreateKey", "Effect": "Allow", "Action": "payment-cryptography:CreateKey", "Resource": "*" }, { "Sid": "IAMPolicyViewAllTags", "Effect": "Allow", "Action": "payment-cryptography:ListResourceTags", "Resource": "arn:aws:payment-cryptography:*:111122223333:key/*" }, { "Sid": "IAMPolicyManageTags", "Effect": "Allow", "Action": [ "payment-cryptography:TagResource", "payment-cryptography:UntagResource" ], "Resource": "arn:aws:payment-cryptography:*:111122223333:key/*", "Condition": { "ForAllValues:StringEquals": {"aws:TagKeys": "Project"} } } ] }
