L'ajout d'balises aux vues - Explorateur de ressources AWS
Ajoutez des balises à vos vuesContrôle des autorisations à l'aide de balisesRéférencer des balises dans une politique ABAC

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

L'ajout d'balises aux vues

Vous pouvez ajouter des balises à vos vues afin de les classer. Les balises sont des métadonnées fournies par le client qui prennent la forme d'une chaîne de nom de clé et d'une chaîne de valeur facultative associée. Pour des informations générales sur le balisageAWS des ressources, consultez la section MarquageAWS des ressources dans le Référence générale d'Amazon Web Services.

Ajoutez des balises à vos vues

Vous pouvez ajouter des balises à vos vues de l'Explorateur de ressources en utilisantAWS Management Console ou en exécutant desAWS CLI commandes ou leurs opérations d'API équivalentes dans unAWS SDK.

AWS Management Console
Pour ajouter des balises à une vue

  1. Ouvrez la page Vues de l'Explorateur de ressources et choisissez le nom de la vue à étiqueter pour afficher sa page de détails.

  2. Sous Balises, choisissez Gérer les balises.

  3. Pour ajouter une balise, choisissez Ajouter la balise, puis entrez un nom de clé de balise et une valeur facultative.

    Note

    Vous pouvez également supprimer un tag en cliquant sur le X à côté du tag.

    Vous pouvez attacher jusqu'à 50 balises définies par l'utilisateur à une ressource. Les balises créées et gérées automatiquement parAWS ne sont pas prises en compte dans ce quota.

  4. Lorsque vous avez terminé de modifier toutes les balises, choisissez Enregistrer les modifications.

AWS CLI
Pour ajouter des balises à une vue

Exécutez la commande suivante afin d'ajouter des balises à une vue. L'exemple suivant ajoute des balises avec le nom de la cléenvironment et la valeurproduction à la vue spécifiée.

$ aws resource-explorer-2 tag-resource \
    --resource-id arn:aws:resource-explorer-2:us-east-1:123456789012:view/MyViewName/1a2b3c4d-5d6e-7f8a-9b0c-abcd11111111 \
    --tags environment=production

La commande précédente ne produit aucune sortie si elle réussit.

Note

Pour supprimer une étiquette existante d'une vue, utilisez launtag-resource commande.

Contrôle des autorisations à l'aide de balises

L'une des principales utilisations du balisage est de soutenir une stratégie de contrôle d'accès basé sur les attributs (ABAC). ABAC peut vous aider à simplifier la gestion des autorisations en vous permettant de baliser les ressources. Ensuite, vous accordez l'autorisation aux utilisateurs d'accéder aux ressources qui sont balisées d'une certaine manière.

Par exemple, envisagez ce scénario. Pour une vue appeléeViewA, vous attachez la baliseenvironment=prod (nom de la clé = valeur). Un autreViewB pourrait être marquéenvironment=beta. Vous balisez vos rôles et vos utilisateurs avec les mêmes balises et valeurs, en fonction de l'environnement auquel chaque rôle ou utilisateur doit pouvoir accéder.

Vous pouvez ensuite attribuer une politique d'autorisationAWS Identity and Access Management (IAM) à vos rôles, groupes et utilisateurs IAM. La politique autorise l'accès et la recherche à l'aide d'une vue uniquement si le rôle ou l'utilisateur à l'origine de la demande de recherche possède uneenvironment étiquette ayant la même valeur que laenvironment balise associée à la vue.

L'avantage de cette approche est qu'elle est dynamique et qu'elle ne vous oblige pas à tenir à jour une liste indiquant qui a accès à quelles ressources. Vous devez plutôt vous assurer que toutes les ressources (vos points de vue) et les principaux (rôles IAM et utilisateurs) sont correctement balisés. Ensuite, les autorisations sont mises à jour automatiquement sans que vous ayez à modifier les politiques.

Référencer des balises dans une politique ABAC

Une fois vos vues balisées, vous pouvez choisir d'utiliser ces balises pour contrôler l'accès dynamique à ces vues. L'exemple de politique suivant part du principe que vos principes IAM et vos vues sont balisés à l'aide de la clé de baliseenvironment et d'une valeur. Une fois que c'est fait, vous pouvez attacher l'exemple de politique suivant à vos directives. Vos rôles et utilisateurs peuvent ensuiteSearch utiliser toutes les vues balisées avec une valeur deenvironment balise qui correspond exactement à laenvironment balise associée au principal.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "resource-explorer-2:GetView",
                "resource-explorer-2:Search"
            ],
            "Resource": "arn:aws:resource-explorer-2:us-east-1:123456789012:view/*",
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "aws:ResourceTag/environment": "${aws:PrincipalTag/environment}"
                }
            }
        }
    ]
}

Si la balise est associée à la vue principale mais que les valeurs ne correspondent pas, ou si laenvironment balise est manquante dans l'une ou l'autre, l'environmentExplorateur de ressources refuse la demande de recherche.

Pour plus d'informations sur l'utilisation d'ABAC pour accorder un accès sécurisé à vos ressources, voir À quoi sert ABACAWS ?