Uso de etiquetas con políticas de IAM - AWS RoboMaker

Aviso de fin del soporte: el 10 de septiembre de 2025, AWS dejaremos de ofrecer soporte a AWS RoboMaker. Después del 10 de septiembre de 2025, ya no podrás acceder a la AWS RoboMaker consola ni a AWS RoboMaker los recursos. Para obtener más información sobre la transición para ayudar AWS Batch a ejecutar simulaciones en contenedores, visite esta entrada de blog.

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Uso de etiquetas con políticas de IAM

Puede aplicar permisos de nivel de recurso basados en etiquetas en las políticas de IAM que utiliza con las acciones de la API de AWS RoboMaker. Esto le ofrece un mejor control sobre los recursos que un usuario puede crear, modificar o utilizar. Puede utilizar el elemento Condition (también llamado bloque Condition) junto con las siguientes claves de contexto de condición y valores en una política de IAM para controlar el acceso del usuario (permiso) en función de las etiquetas de un usuario:

  • Utilice aws:ResourceTag/tag-key: tag-value para permitir o denegar acciones de los usuarios en recursos con etiquetas específicas.

  • Utilice aws:RequestTag/tag-key: tag-value para exigir (o impedir) el uso de una etiqueta específica al realizar una solicitud de API para crear o modificar un recurso que permita etiquetas.

  • Utilice aws:TagKeys: [tag-key, ...] para exigir (o impedir) el uso de un conjunto de claves de etiquetas al realizar una solicitud de API para crear o modificar un recurso que permita etiquetas.

nota

Las claves de contexto de condición y los valores de una política de IAM se aplican únicamente a las acciones de AWS RoboMaker en las que un identificador de un recurso que se puede etiquetar es un parámetro obligatorio. Por ejemplo, el uso de ListFleets no se permitirá o se denegará sobre la base de las claves y los valores de contexto de condición porque no hay ningún recurso que se pueda etiquetar (flota, robot, aplicación de robot, aplicación de simulación, trabajo de simulación, trabajo de implementación) al que se haga referencia en esta solicitud.

Para más información, consulte Control del acceso a recursos de AWS con etiquetas en la Guía del usuario de AWS Identity and Access Management. La sección de referencia de políticas JSON de IAM de esta guía incluye sintaxis, descripciones y ejemplos detallados de los elementos, variables y lógica de evaluación de las políticas JSON de IAM.

La siguiente política de ejemplo aplica dos restricciones basadas en etiquetas. Un usuario de IAM restringido por esta política:

  • No se puede crear robots con la etiqueta "env=prod" (en el ejemplo, vea la línea "aws:RequestTag/env" : "prod").

  • No se puede eliminar robots con la etiqueta "env=prod" (en el ejemplo, vea la línea "aws:ResourceTag/env" : "prod").

{ "Version" : "2012-10-17", "Statement" : [ { "Effect" : "Deny", "Action" : "robomaker:CreateRobot", "Resource" : "*", "Condition" : { "StringEquals" : { "aws:RequestTag/env" : "prod" } } }, { "Effect" : "Deny", "Action" : "robomaker:DeleteRobot", "Resource" : "*", "Condition" : { "StringEquals" : { "aws:ResourceTag/env" : "prod" } } }, { "Effect": "Allow", "Action": "robomaker:*", "Resource": "*" } ] }

También puede especificar varios valores de etiqueta para una determinada clave de etiqueta encerrándola en una lista, tal y como se muestra a continuación:

"StringEquals" : { "aws:ResourceTag/env" : ["dev", "test"] }
nota

Si permite o deniega a los usuarios acceso a recursos en función de etiquetas, debe considerar denegar explícitamente a los usuarios la posibilidad de agregar estas etiquetas o retirarlas de los mismos recursos. De lo contrario, es posible que un usuario eluda sus restricciones y obtenga acceso a un recurso modificando sus etiquetas.