Utilisation de balises pour contrôler l'accès aux ressources de connexion au compte - Amazon CodeCatalyst
Exemple 1 : Autoriser les actions en fonction des balises contenues dans la demandeExemple 2 : Autoriser les actions en fonction des balises de ressources

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Utilisation de balises pour contrôler l'accès aux ressources de connexion au compte

Les balises peuvent être attachées à la ressource ou transmises dans la demande aux services qui prennent en charge le balisage. Les ressources des politiques peuvent comporter des balises, et certaines actions des politiques peuvent inclure des balises. Les clés de condition de balisage incluent les clés aws:RequestTag de aws:ResourceTag condition et. Lorsque vous créez une stratégie IAM, vous pouvez utiliser des clés de condition de balise pour contrôler les éléments suivants :

  • Quels utilisateurs peuvent effectuer des actions sur une ressource de connexion, en fonction des balises qu'elle possède déjà.

  • quelles balises peuvent être transmises dans une demande d'action ;

  • si des clés de balise spécifiques peuvent être utilisées dans une demande.

Les exemples suivants montrent comment spécifier des conditions de balise dans les politiques relatives aux connexions de CodeCatalyst compte pour les utilisateurs. Pour de plus amples informations sur l'utilisation des clés de condition, consultez la section Clés de conditions de politique dans IAM.

Exemple 1 : Autoriser les actions en fonction des balises contenues dans la demande

La politique suivante autorise les utilisateurs à approuver les connexions aux comptes.

Pour ce faire, elle autorise les actions AcceptConnection et TagResource si la demande spécifie une balise nommée Project avec la valeur ProjectA. (La clé de condition aws:RequestTag est utilisée pour contrôler les balises qui peuvent être transmises dans une demande IAM.) La condition aws:TagKeys garantit que la clé de balise est sensible à la casse.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "codecatalyst:AcceptConnection",
        "codecatalyst:TagResource"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:RequestTag/Project": "ProjectA"
        },
        "ForAllValues:StringEquals": {
          "aws:TagKeys": ["Project"]
        }
      }
    }
  ]
}

Exemple 2 : Autoriser les actions en fonction des balises de ressources

La politique suivante autorise les utilisateurs à effectuer des actions sur les ressources de connexion au compte et à obtenir des informations sur celles-ci.

Pour ce faire, il autorise des actions spécifiques si la connexion possède une balise nommée Project avec la valeurProjectA. (La clé de condition aws:ResourceTag est utilisée pour contrôler les balises qui peuvent être transmises dans une demande IAM.)

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "codecatalyst:GetConnection",
        "codecatalyst:DeleteConnection",
        "codecatalyst:AssociateIamRoleToConnection",
        "codecatalyst:DisassociateIamRoleFromConnection",
        "codecatalyst:ListIamRolesForConnection",
        "codecatalyst:PutBillingAuthorization"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:ResourceTag/Project": "ProjectA"
        }
      }
    }
  ]
}