Aviso de fin del soporte: el 10 de septiembre de 2025, AWS
dejaremos de ofrecer soporte a AWS RoboMaker. Después del 10 de septiembre de 2025, ya no podrás acceder a la AWS RoboMaker consola ni a AWS RoboMaker los recursos. Para obtener más información sobre la transición para ayudar AWS Batch a ejecutar simulaciones en contenedores, visite esta entrada de blog.
Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Uso de etiquetas con políticas de IAM
Puede aplicar permisos de nivel de recurso basados en etiquetas en las políticas de IAM que utiliza con las acciones de la API de AWS RoboMaker . Esto le ofrece un mejor control sobre los recursos que un usuario puede crear, modificar o utilizar. Puede utilizar el elemento Condition (también llamado bloque Condition) junto con las siguientes claves contextuales de condición y valores en una política de IAM para controlar el acceso del usuario (permiso) en función de las etiquetas de un usuario:
-
Utilice
aws:ResourceTag/para permitir o denegar acciones de los usuarios en recursos con etiquetas específicas.tag-key:tag-value -
Utilice
aws:RequestTag/para exigir (o impedir) el uso de una etiqueta específica al realizar una solicitud de API para crear o modificar un recurso que permita etiquetas.tag-key:tag-value -
Utilice
aws:TagKeys: [para exigir (o impedir) el uso de un conjunto de claves de etiquetas al realizar una solicitud de API para crear o modificar un recurso que permita etiquetas.tag-key, ...]
nota
Las claves contextuales de condición y los valores de una política de IAM se aplican únicamente a las acciones de AWS RoboMaker en las que un identificador de un recurso que se puede etiquetar es un parámetro obligatorio. Por ejemplo, no se permitirá ni ListFleetsdenegará el uso de en función de las claves y valores del contexto de la condición, ya que en esta solicitud no se hace referencia a ningún recurso etiquetable (flota, robot, aplicación de robot, aplicación de simulación, trabajo de simulación, trabajo de despliegue).
Para más información, consulte Control del acceso a recursos de AWS con etiquetas en la Guía del usuario de AWS Identity and Access Management. La sección Referencia de políticas JSON de IAM de esta guía incluye sintaxis, descripciones y ejemplos detallados de los elementos, variables y lógica de evaluación de las políticas JSON de IAM.
La siguiente política de ejemplo aplica dos restricciones basadas en etiquetas. Un usuario de IAM restringido por esta política:
-
No se puede crear robots con la etiqueta
"env=prod"(en el ejemplo, vea la línea"aws:RequestTag/env" : "prod"). -
No se puede eliminar robots con la etiqueta
"env=prod"(en el ejemplo, vea la línea"aws:ResourceTag/env" : "prod").
{ "Version" : "2012-10-17", "Statement" : [ { "Effect" : "Deny", "Action" : "robomaker:CreateRobot", "Resource" : "*", "Condition" : { "StringEquals" : { "aws:RequestTag/env" : "prod" } } }, { "Effect" : "Deny", "Action" : "robomaker:DeleteRobot", "Resource" : "*", "Condition" : { "StringEquals" : { "aws:ResourceTag/env" : "prod" } } }, { "Effect": "Allow", "Action": "robomaker:*", "Resource": "*" } ] }
También puede especificar varios valores de etiqueta para una determinada clave de etiqueta encerrándola en una lista, tal y como se muestra a continuación:
"StringEquals" : { "aws:ResourceTag/env" : ["dev", "test"] }
nota
Si permite o deniega a los usuarios acceso a recursos en función de etiquetas, debe considerar denegar explícitamente a los usuarios la posibilidad de agregar estas etiquetas o retirarlas de los mismos recursos. De lo contrario, es posible que un usuario eluda sus restricciones y obtenga acceso a un recurso modificando sus etiquetas.
