Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Kontrol akses ke sumber daya Amazon ECS menggunakan tag sumber daya
Saat membuat kebijakan IAM yang memberikan izin kepada pengguna untuk menggunakan sumber daya Amazon ECS, Anda dapat menyertakan informasi tag dalam Condition elemen kebijakan untuk mengontrol akses berdasarkan tag. Hal ini dikenal sebagai kendali akses berbasis atribut (ABAC). ABAC memberikan Anda kendali yang lebih baik atas sumber daya mengenai sumber daya mana yang dapat diubah, digunakan, atau dihapus oleh seorang pengguna. Untuk informasi lebih lanjut, lihat Apa fungsi ABAC untuk AWS?
Misalnya, Anda dapat membuat kebijakan yang memungkinkan pengguna menghapus klaster, tetapi menolak tindakan jika klaster memiliki tagenvironment=production. Untuk melakukan hal ini, Anda bisa menggunakan kunci syarat aws:ResourceTag untuk mengizinkan atau menolak akses ke sumber daya berdasarkan tanda yang dilampirkan pada sumber daya.
"StringEquals": { "aws:ResourceTag/environment": "production" }Untuk mempelajari apakah tindakan Amazon ECS API mendukung pengendalian akses menggunakan kunci aws:ResourceTag kondisi, lihat Tindakan, sumber daya, dan kunci kondisi untuk Amazon ECS. Perhatikan bahwa tindakan Describe tidak mendukung izin tingkat sumber daya, sehingga Anda harus menentukannya dalam pernyataan terpisah yang tidak disertai syarat.
Untuk contoh kebijakan IAM, lihat Amazon ECS Contoh kebijakan .
Jika Anda mengizinkan atau menolak akses para pengguna ke sumber daya berdasarkan tanda, maka Anda harus mempertimbangkan untuk menolak secara eksplisit memberikan kemampuan kepada pengguna untuk menambahkan atau menghapus tanda tersebut dari sumber daya yang sama. Jika tidak, pengguna dapat mengakali pembatasan Anda dan mendapatkan akses atas sumber daya dengan melakukan modifikasi pada tanda dari sumber daya tersebut.
