Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Octroi de l'autorisation de baliser les ressources lors de la création
Les actions de balisage lors de la création d'API Amazon ECS suivantes vous permettent de spécifier des balises lorsque vous créez la ressource. Si des balises sont spécifiées dans l'action de création de ressources, AWS effectue une autorisation supplémentaire pour vérifier que les autorisations appropriées sont attribuées pour créer des balises.
+ `CreateCapacityProvider`
+ `CreateCluster`
+ `CreateService`
+ `CreateTaskSet`
+ `RegisterContainerInstance`
+ `RegisterTaskDefinition`
+ `RunTask`
+ `StartTask`
Vous pouvez utiliser des balises de ressource pour implémenter le contrôle basé sur les attributs (ABAC). Pour plus d’informations, consultez [Contrôle de l'accès aux ressources Amazon ECS à l'aide des balises de ressources](control-access-with-tags.md) et [Balisage des ressources Amazon ECS](ecs-using-tags.md).
Pour autoriser le balisage lors de la création, créez ou modifiez une politique afin d'inclure à la fois les autorisations d'utilisation de l'action qui crée la ressource, telle que `ecs:CreateCluster` ou `ecs:RunTask` et l'action `ecs:TagResource`.
L’exemple suivant illustre une politique qui autorise les utilisateurs à créer des clusters et à ajouter des balises lors de la création du cluster. Les utilisateurs ne sont pas autorisés à attribuer des balises aux ressources existantes (ils ne peuvent pas appeler l’action `ecs:TagResource` directement).
```
{
"Statement": [
{
"Effect": "Allow",
"Action": [
"ecs:CreateCluster"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ecs:TagResource"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"ecs:CreateAction": [
"CreateCluster",
"CreateCapacityProvider",
"CreateService",
"CreateTaskSet",
"RegisterContainerInstance",
"RegisterTaskDefinition",
"RunTask",
"StartTask"
]
}
}
}
]
}
```
L’action `ecs:TagResource` est uniquement évaluée si les balises sont appliquées pendant l’action de création de ressources. Par conséquent, un utilisateur qui est autorisé à créer une ressource (en supposant qu’il n’existe aucune condition de balisage) n’a pas besoin des autorisations d’utiliser l’action `ecs:TagResource` si aucune balise n’est spécifié dans la demande. Toutefois, si l’utilisateur essaie de créer une ressource avec des balises, la demande échoue s’il n’a pas les autorisations d’utiliser l’action `ecs:TagResource`.
## Contrôle de l’accès à des balises spécifiques dans Amazon ECS
Vous pouvez utiliser des conditions supplémentaires dans l’élément `Condition` de vos stratégies IAM pour contrôler les clés de balise et les valeurs qui peuvent être appliquées aux ressources.
Les clés de condition suivantes peuvent être utilisées avec les exemples de la section précédente :
+ `aws:RequestTag` : Pour indiquer qu’une clé de balise ou une clé et valeur de balise particulière doit être présente dans une demande. D’autres balises peuvent également être spécifiées dans la demande.
+ Utilisez avec l’opérateur de condition `StringEquals` pour appliquer une combinaison de clé de balise et de valeur spécifique ; par exemple, pour appliquer la balise `cost-center`=`cc123` :
```
"StringEquals": { "aws:RequestTag/cost-center": "cc123" }
```
+ A utiliser avec l’opération de condition `StringLike` pour appliquer une clé de balise spécifique dans la demande ; par exemple, pour appliquer la clé de balise `purpose`:
```
"StringLike": { "aws:RequestTag/purpose": "*" }
```
+ `aws:TagKeys` : Pour appliquer les clés de balise qui sont utilisées dans la demande.
+ A utiliser avec le modificateur `ForAllValues` pour appliquer des clés de balise spécifiques si celles-ci sont fournies dans la demande (si les balises sont spécifiées dans la demande, seules les clés de balise spécifiques sont autorisées ; aucune autre balise n’est autorisée). Par exemple, les clés de balise `environment` ou `cost-center` sont autorisées :
```
"ForAllValues:StringEquals": { "aws:TagKeys": ["environment","cost-center"] }
```
+ A utiliser avec le modificateur `ForAnyValue` pour appliquer la présence d’au moins l’une des clés de balise spécifiées dans la demande. Par exemple, au moins l’une des clés de balise `environment` ou `webserver` doit être présente dans la demande :
```
"ForAnyValue:StringEquals": { "aws:TagKeys": ["environment","webserver"] }
```
Ces clés de condition peuvent être appliquées aux actions de création de ressources qui prennent en charge le balisage, ainsi qu'à l'action `ecs:TagResource`. Pour savoir si une action d'API Amazon ECS prend en charge le balisage, veuillez consulter [Actions, ressources et clés de condition pour Amazon ECS](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonelasticcontainerservice.html).
Pour forcer les utilisateurs à spécifier des balises quand ils créent une ressource, vous devez utiliser la clé de condition `aws:RequestTag` ou la clé de condition `aws:TagKeys` avec le modificateur `ForAnyValue` sur l’action de création de ressources. L’action `ecs:TagResource` n’est pas évaluée si un utilisateur ne spécifie pas de balises pour l’action de création de ressources.
Pour les conditions, la clé de condition n’est pas sensible à la casse et la valeur de la condition est sensible à la casse. Par conséquent pour forcer la sensibilité à la casse d’une clé de balise, utilisez la clé de condition `aws:TagKeys`, où la clé de balise est indiquée comme une valeur dans la condition.
Pour plus d’informations sur les conditions à valeur multiples, consultez la section [Conditions avec plusieurs clés ou valeurs de contexte](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-logic-multiple-context-keys-or-values.html) dans le *Guide de l’utilisateur IAM*.