Utilisation de balises pour contrôler l'accès aux ressources Elastic Beanstalk

Cette rubrique explique comment le contrôle d'accès basé sur des balises peut vous aider à créer et à gérer des IAM politiques.

Nous pouvons utiliser les conditions figurant dans les déclarations de politique IAM utilisateur pour configurer les autorisations d'accès d'Elastic Beanstalk aux ressources. Pour en savoir plus sur les conditions des déclarations de politique, consultezRessources et conditions pour les actions Elastic Beanstalk. L'utilisation des balises dans les conditions est un moyen de contrôler l'accès aux ressources et demandes. Pour de plus amples informations sur le balisage des ressources Elastic Beanstalk, veuillez consulter Étiquette des ressources d'application Elastic Beanstalk.

Lorsque vous concevez IAM des politiques, vous définissez peut-être des autorisations granulaires en accordant l'accès à des ressources spécifiques. Au fur et à mesure que le nombre de ressources que vous gérez s'accroît, cette tâche devient plus difficile. Le balisage des ressources et l'utilisation de balises dans les déclarations de politique peuvent rendre cette tâche plus facile. Vous accordez l'accès en bloc à toute ressource avec une balise spécifique. Puis, vous appliquez cette balise à plusieurs reprises aux ressources correspondantes, lors de la création ou ultérieurement.

Les balises peuvent être attachées à la ressource ou transmises dans la demande aux services qui prennent en charge le balisage. Dans Elastic Beanstalk, les ressources et certaines actions peuvent comporter des balises. Lorsque vous créez une IAM politique, vous pouvez utiliser les clés de condition des balises pour contrôler les conditions suivantes :

quels utilisateurs peuvent effectuer des actions sur un environnement, en fonction des balises qu'il possède déjà ;
quelles balises peuvent être transmises dans une demande d'action ;
si des clés de balise spécifiques peuvent être utilisées dans une demande.

Pour connaître la syntaxe et la sémantique complètes des clés de condition des balises, consultez la section Contrôle de l'accès à l'aide de balises dans le guide de l'IAMutilisateur.

Exemples de conditions relatives aux balises dans les politiques

Les exemples suivants montrent comment spécifier des conditions de balises dans les stratégies pour les utilisateurs Elastic Beanstalk.

Exemple 1 : Limiter les actions en fonction des balises dans la demande

La politique relative aux utilisateurs gérés par AdministratorAccessElastic AWSElasticBeanstalk Beanstalk donne aux utilisateurs des autorisations illimitées pour effectuer n'importe quelle action Elastic Beanstalk sur n'importe quelle ressource gérée par Elastic Beanstalk.

La stratégie suivante refuse aux utilisateurs non autorisés l'autorisation de créer des environnements de production Elastic Beanstalk. Pour ce faire, elle refuse l'action CreateEnvironment si la demande spécifie une balise nommée stage avec une valeur gamma ou prod. En outre, la politique empêche ces utilisateurs non autorisés de modifier la phase d'environnements de production, en n'autorisant pas les actions de modification de balise visant à inclure ces mêmes valeurs de balise ou à supprimer entièrement la balise stage. L'administrateur d'un client doit associer cette IAM politique aux IAM utilisateurs non autorisés, en plus de la politique relative aux utilisateurs gérés.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": [
        "elasticbeanstalk:CreateEnvironment",
        "elasticbeanstalk:AddTags"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:RequestTag/stage": ["gamma", "prod"]
        }
      }
    },
    {
      "Effect": "Deny",
      "Action": [
        "elasticbeanstalk:RemoveTags"
      ],
      "Resource": "*",
      "Condition": {
        "ForAnyValue:StringEquals": {
          "aws:TagKeys": ["stage"]
        }
      }
    }
  ]
}

Exemple 2 : Limiter les actions en fonction des balises de ressource

La stratégie suivante refuse aux utilisateurs non autorisés l'autorisation d'effectuer des actions sur les environnements de production Elastic Beanstalk. Pour ce faire, elle refuse des actions spécifiques si l'environnement possède une balise nommée stage avec une valeur gamma ou prod. L'administrateur d'un client doit associer cette IAM politique aux IAM utilisateurs non autorisés, en plus de la politique relative aux utilisateurs gérés.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": [
        "elasticbeanstalk:AddTags",
        "elasticbeanstalk:RemoveTags",
        "elasticbeanstalk:DescribeEnvironments",
        "elasticbeanstalk:TerminateEnvironment",
        "elasticbeanstalk:UpdateEnvironment",
        "elasticbeanstalk:ListTagsForResource"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:ResourceTag/stage": ["gamma", "prod"]
        }
      }
    }
  ]
}

Exemple 3 : Limiter les actions en fonction des balises dans la demande

La stratégie suivante accorde aux utilisateurs l'autorisation de créer des applications de développement Elastic Beanstalk.

Pour ce faire, il autorise les actions CreateApplication et AddTags si la demande spécifie une balise nommée stage avec la valeur development. La condition aws:TagKeys garantit que l'utilisateur ne peut pas ajouter d'autres clés de balise. En particulier, elle garantit la sensibilité à la casse de la clé de balise stage. Notez que cette politique est utile pour IAM les utilisateurs auxquels la politique utilisateur gérée d'AdministratorAccessElastic AWSElasticBeanstalk Beanstalk n'est pas jointe. La stratégie gérée fournit aux utilisateurs les autorisations complètes nécessaires pour effectuer une action Elastic Beanstalk sur une ressource gérée par Elastic Beanstalk.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "elasticbeanstalk:CreateApplication",
        "elasticbeanstalk:AddTags"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:RequestTag/stage": "development"
        },
        "ForAllValues:StringEquals": {
          "aws:TagKeys": ["stage"]
        }
      }
    }
  ]
}

Exemple 4 : Limiter les actions en fonction des balises de ressource

La stratégie suivante accorde aux utilisateurs l'autorisation d'effectuer des actions et d'obtenir des informations sur les applications de développement Elastic Beanstalk.

Pour ce faire, il autorise les actions spécifiques si l'application a une balise nommée stage avec la valeur development. La condition aws:TagKeys garantit que l'utilisateur ne peut pas ajouter d'autres clés de balise. En particulier, elle garantit la sensibilité à la casse de la clé de balise stage. Notez que cette politique est utile pour IAM les utilisateurs auxquels la politique utilisateur gérée d'AdministratorAccessElastic AWSElasticBeanstalk Beanstalk n'est pas jointe. La stratégie gérée fournit aux utilisateurs les autorisations complètes nécessaires pour effectuer une action Elastic Beanstalk sur une ressource gérée par Elastic Beanstalk.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "elasticbeanstalk:UpdateApplication",
        "elasticbeanstalk:DeleteApplication",
        "elasticbeanstalk:DescribeApplications"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:ResourceTag/stage": "development"
        },
        "ForAllValues:StringEquals": {
          "aws:TagKeys": ["stage"]
        }
      }
    }
  ]
}

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Ressources et conditions

Exemples de stratégies gérées