Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Contrôle de l'accès aux balises
Pour ajouter, afficher et supprimer des balises à l'aide deAPI, les directeurs doivent disposer d'autorisations de balisage dans IAM les politiques.
Vous pouvez également limiter ces autorisations en utilisant des clés de condition AWS globales pour les balises. Dans le AWS domaine de la cryptographie des paiements, ces conditions peuvent contrôler l'accès aux opérations de marquage, telles que TagResourceet. UntagResource
Pour des exemples de politiques et de plus amples informations, consultez la section Contrôle de l'accès en fonction des clés de balise dans le guide de IAM l'utilisateur.
Les autorisations de création et de gestion de balises fonctionnent comme suit.
- cryptographie des paiements : TagResource
-
Autorise les principaux à ajouter ou à modifier des balises. Pour ajouter des balises lors de la création d'une clé, le principal doit disposer d'une autorisation dans le cadre d'une IAM politique qui n'est pas limitée à des clés spécifiques.
- cryptographie des paiements : ListTagsForResource
-
Permet aux principaux d'afficher les balises sur les clés.
- cryptographie des paiements : UntagResource
-
Permet aux principaux de supprimer les balises des clés.
Autorisations de balises dans les politiques
Vous pouvez fournir des autorisations de balisage dans une politique ou IAM une politique clé. Par exemple, l'exemple de politique de clé suivant donne à certains utilisateurs l'autorisation de taguer la clé. Il accorde à tous les utilisateurs qui peuvent endosser les rôles Administrateur ou Développeur d'exemple l'autorisation d'afficher les balises.
{ "Version": "2012-10-17", "Id": "example-key-policy", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::111122223333:root"}, "Action": "payment-cryptography:*", "Resource": "*" }, { "Sid": "Allow all tagging permissions", "Effect": "Allow", "Principal": {"AWS": [ "arn:aws:iam::111122223333:user/LeadAdmin", "arn:aws:iam::111122223333:user/SupportLead" ]}, "Action": [ "payment-cryptography:TagResource", "payment-cryptography:ListTagsForResource", "payment-cryptography:UntagResource" ], "Resource": "*" }, { "Sid": "Allow roles to view tags", "Effect": "Allow", "Principal": {"AWS": [ "arn:aws:iam::111122223333:role/Administrator", "arn:aws:iam::111122223333:role/Developer" ]}, "Action": "payment-cryptography:ListResourceTags", "Resource": "*" } ] }
Pour autoriser les directeurs à baliser plusieurs clés, vous pouvez utiliser une IAM politique. Pour que cette politique soit efficace, la politique clé pour chaque clé doit autoriser le compte à utiliser des IAM politiques pour contrôler l'accès à la clé.
Par exemple, la IAM politique suivante permet aux principaux de créer des clés. Cela leur permet également de créer et de gérer des balises sur toutes les clés du compte spécifié. Cette combinaison permet aux principaux d'utiliser le paramètre tags de l'CreateKeyopération pour ajouter des balises à une clé lors de sa création.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "IAMPolicyCreateKeys", "Effect": "Allow", "Action": "payment-cryptography:CreateKey", "Resource": "*" }, { "Sid": "IAMPolicyTags", "Effect": "Allow", "Action": [ "payment-cryptography:TagResource", "payment-cryptography:UntagResource", "payment-cryptography:ListTagsForResource" ], "Resource": "arn:aws:payment-cryptography:*:111122223333:key/*" } ] }
Limitation des autorisations de balises
Vous pouvez limiter les autorisations d'étiquetage en utilisant des conditions de politique. Les conditions de politique suivantes peuvent être appliquées aux autorisations payment-cryptography:TagResource
et payment-cryptography:UntagResource
. Par exemple, vous pouvez utiliser la condition aws:RequestTag/tag-key
pour permettre à un principal d'ajouter uniquement des balises particulières, ou empêcher un principal d'ajouter des balises avec des clés de balise particulières.
-
aws :ResourceTag/tag-key (IAMpolitiques uniquement)
Lorsque vous utilisez des balises pour contrôler l'accès aux clés, il est recommandé d'utiliser la touche de aws:TagKeys
condition aws:RequestTag/tag-key
ou pour déterminer quelles balises (ou clés de balise) sont autorisées.
Par exemple, la IAM politique suivante est similaire à la précédente. Toutefois, cette politique permet aux principaux de créer des balises (TagResource
) et de supprimer des balises UntagResource
uniquement pour les balises avec une clé de balise Project
.
Étant donné que TagResource
les UntagResource
demandes peuvent inclure plusieurs balises, vous devez spécifier un opérateur ForAllValues
ou un ForAnyValue
ensemble avec la TagKeys condition aws :. L'opérateur ForAnyValue
exige qu'au moins l'une des clés de balise dans la demande corresponde à l'une des clés de balise dans la politique. L'opérateur ForAllValues
exige que toutes les clés de balise dans la demande correspondent à l'une des clés de balise dans la politique. L'ForAllValues
opérateur renvoie également true
si la demande ne contient aucune balise, mais TagResource UntagResource échoue si aucune balise n'est spécifiée. Pour plus de détails sur les opérateurs définis, voir Utiliser plusieurs clés et valeurs dans le Guide de IAM l'utilisateur.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "IAMPolicyCreateKey", "Effect": "Allow", "Action": "payment-cryptography:CreateKey", "Resource": "*" }, { "Sid": "IAMPolicyViewAllTags", "Effect": "Allow", "Action": "payment-cryptography:ListResourceTags", "Resource": "arn:aws:payment-cryptography:*:111122223333:key/*" }, { "Sid": "IAMPolicyManageTags", "Effect": "Allow", "Action": [ "payment-cryptography:TagResource", "payment-cryptography:UntagResource" ], "Resource": "arn:aws:payment-cryptography:*:111122223333:key/*", "Condition": { "ForAllValues:StringEquals": {"aws:TagKeys": "Project"} } } ] }