Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Contrôlez l'accès aux ECS ressources Amazon à l'aide de balises de ressources
Lorsque vous créez une IAM politique qui autorise les utilisateurs à utiliser les ECS ressources Amazon, vous pouvez inclure les informations relatives aux balises dans l'Condition
élément de la politique afin de contrôler l'accès en fonction des balises. C'est ce que l'on appelle le contrôle d'accès basé sur les attributs ()ABAC. ABACpermet de mieux contrôler les ressources qu'un utilisateur peut modifier, utiliser ou supprimer. Pour plus d'informations, voir À quoi ça ABAC sert AWS ?
Par exemple, vous pouvez créer une politique qui permet aux utilisateurs de supprimer un cluster, mais qui refuse l'action si le cluster possède la balise environment=production
. Pour ce faire, vous utilisez la clé de condition aws:ResourceTag
pour autoriser ou refuser l’accès à la ressource en fonction des balises attachées à la ressource.
"StringEquals": { "aws:ResourceTag/environment": "production" }
Pour savoir si une ECS API action Amazon permet de contrôler l'accès à l'aide de la clé de aws:ResourceTag
condition, consultez Actions, ressources et clés de condition pour Amazon ECS. Notez que les actions Describe
ne prennent pas en charge les autorisations au niveau des ressources, vous devez donc les spécifier dans une instruction distincte sans condition.
Pour des exemples IAM de politiques, voirECSExemples de politiques Amazon .
Si vous autorisez ou refusez à des utilisateurs l’accès à des ressources en fonction de balises, vous devez envisager de refuser de manière explicite la possibilité pour les utilisateurs d’ajouter ces balises ou de les supprimer des mêmes ressources. Sinon, il sera possible pour un utilisateur de contourner vos restrictions et d’obtenir l’accès à une ressource en modifiant ses balises.