Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
L'ensemble suivant d'exemples de politiques montre comment créer des conditions de politique à l'aide de clés de contexte à valeurs multiples.
Exemple : politique de refus avec opérateur d'ensemble de conditions ForAllValues
L'exemple suivant de politique basée sur l'identité interdit l'utilisation d'actions de balisage IAM lorsque des préfixes de clé de balise spécifiques sont inclus dans la demande. Chaque valeur pour la clé de contexte aws:TagKeys inclut un caractère générique (*) pour la correspondance partielle des chaînes. La politique inclut l'opérateur d'ensemble ForAllValues avec la clé de contexte aws:TagKeys, car la clé de contexte de la demande peut inclure plusieurs valeurs. Afin que la clé de contexte aws:TagKeys renvoie la valeur true, chaque valeur de la demande doit correspondre à au moins une valeur de la politique.
L'opérateur d'ensemble ForAllValues renvoie également la valeur true si la demande ne comprend pas de clés de contexte ou si la valeur de clé de contexte aboutit à un jeu de données nul, tel qu'une chaîne vide. Pour éviter que des clés de contexte manquantes ou des clés de contexte contenant des valeurs vides ne soient considérées comme true, incluez l'opérateur de condition Null dans votre politique avec une valeur false pour vérifier si la clé de contexte de la demande existe et si sa valeur n'est pas nulle.
Important
Cette politique ne permet aucune action. Utilisez cette stratégie conjointement à d'autres stratégies qui autorisent des actions spécifiques.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "DenyRestrictedTags",
"Effect": "Deny",
"Action": [
"iam:Tag*",
"iam:UnTag*"
],
"Resource": [
"*"
],
"Condition": {
"Null": {
"aws:TagKeys": "false"
},
"ForAllValues:StringLike": {
"aws:TagKeys": [
"key1*",
"key2*",
"key3*"
]
}
}
}
]
}Exemple : politique de refus avec opérateur d'ensemble de conditions ForAnyValue
L'exemple de politique basée sur l'identité suivant interdit la création d'instantanés de volumes d'instance EC2 si des instantanés sont balisés à l'aide de l'une des clés de balise spécifiées dans la politique, environment ou webserver. La politique inclut l'opérateur d'ensemble ForAnyValue avec la clé de contexte aws:TagKeys, car la clé de contexte de la demande peut inclure plusieurs valeurs. Si votre demande de balisage inclut l'une des valeurs de clés de balise spécifiées dans la politique, la clé de contexte aws:TagKeys renvoie la valeur true en invoquant l'effet de la politique de refus.
Important
Cette politique ne permet aucune action. Utilisez cette stratégie conjointement à d'autres stratégies qui autorisent des actions spécifiques.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"ec2:CreateSnapshot",
"ec2:CreateSnapshots"
],
"Resource": "arn:aws:ec2:us-west-2::snapshot/*",
"Condition": {
"ForAnyValue:StringEquals": {
"aws:TagKeys": ["environment", "webserver"]
}
}
}
]
}