Berikan izin untuk menandai sumber daya pada pembuatan - Amazon Elastic Container Service
Amazon ECS mengontrol akses ke tag tertentu

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Berikan izin untuk menandai sumber daya pada pembuatan

ECSAPITindakan pembuatan tag-on berikut memungkinkan Anda menentukan tag saat membuat sumber daya. Jika tag ditentukan dalam tindakan pembuatan sumber daya, AWS lakukan otorisasi tambahan untuk memverifikasi bahwa izin yang benar ditetapkan untuk membuat tag.

  • CreateCapacityProvider

  • CreateCluster

  • CreateService

  • CreateTaskSet

  • RegisterContainerInstance

  • RegisterTaskDefinition

  • RunTask

  • StartTask

Anda dapat menggunakan tag sumber daya untuk menerapkan kontrol berbasis atribut ()ABAC. Untuk informasi selengkapnya, silakan lihat Kontrol akses ke ECS sumber daya Amazon menggunakan tag sumber daya dan Menandai sumber daya Amazon ECS.

Untuk mengizinkan penandaan pada pembuatan, buat atau ubah kebijakan untuk menyertakan izin untuk menggunakan tindakan yang membuat sumber daya, seperti ecs:CreateCluster atau ecs:RunTask dan tindakan. ecs:TagResource

Contoh berikut menunjukkan kebijakan yang memungkinkan pengguna membuat cluster dan menambahkan tag selama pembuatan klaster. Para pengguna tidak diizinkan untuk memberi tanda pada sumber daya yang sudah ada (mereka tidak dapat memerintahkan tindakan ecs:TagResource secara langsung).

{
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
         "ecs:CreateCluster"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
         "ecs:TagResource"
      ],
      "Resource": "*",
      "Condition": {
         "StringEquals": {
                  "ecs:CreateAction": [
                      "CreateCluster",
                      "CreateCapacityProvider",
                      "CreateService",
                      "CreateTaskSet",
                      "RegisterContainerInstance",
                      "RegisterTaskDefinition",
                      "RunTask",
                      "StartTask"
                  ]
          }
       }
    }
  ]
}

Tindakan ecs:TagResource akan dievaluasi hanya jika tanda diterapkan selama tindakan pembuatan sumber daya. Oleh karena itu, seorang pengguna yang memiliki izin untuk membuat sumber daya (dengan asumsi tidak ada syarat untuk pemberian tanda) tidak memerlukan izin untuk menggunakan tindakan ecs:TagResource jika tidak ada tanda yang ditentukan dalam permintaan. Akan tetapi, jika pengguna tersebut mencoba untuk membuat sumber daya dengan tanda, maka permintaan akan gagal jika pengguna tidak memiliki izin untuk menggunakan tindakan ecs:TagResource.

Amazon ECS mengontrol akses ke tag tertentu

Anda dapat menggunakan kondisi tambahan dalam Condition elemen IAM kebijakan Anda untuk mengontrol kunci tag dan nilai yang dapat diterapkan ke sumber daya.

Kunci syarat berikut dapat digunakan dengan contoh-contoh pada bagian sebelumnya:

  • aws:RequestTag: Untuk mengindikasikan bahwa kunci tanda tertentu atau kunci dan nilai tanda tertentu harus ada di permintaan. Tanda-tanda yang lain juga dapat ditentukan dalam permintaan.

    • Gunakan bersama dengan operator syarat StringEquals untuk memberlakukan kombinasi kunci dan nilai tanda tertentu, misalnya, untuk memberlakukan tanda cost-center=cc123:

      "StringEquals": { "aws:RequestTag/cost-center": "cc123" }

    • Gunakan bersama dengan operator syarat StringLike untuk memberlakukan kunci tanda tertentu dalam permintaan, misalnya, untuk memberlakukan kunci tanda purpose:

      "StringLike": { "aws:RequestTag/purpose": "*" }

  • aws:TagKeys: Untuk memberlakukan kunci tanda yang digunakan dalam permintaan.

    • Gunakan bersama dengan pemodifikasi ForAllValues untuk menerapkan kunci tanda tertentu jika disediakan dalam permintaan (jika tanda ditentukan dalam permintaan, hanya kunci tanda tertentu saja yang diperbolehkan; tidak ada tanda lain yang diperbolehkan). Sebagai contoh, kunci tanda environment atau cost-center diperbolehkan:

      "ForAllValues:StringEquals": { "aws:TagKeys": ["environment","cost-center"] }

    • Gunakan pemodifikasi ForAnyValue untuk memaksakan keberadaan setidaknya salah satu kunci tanda tertentu dalam permintaan. Sebagai contoh, setidaknya salah satu kunci tanda environment atau webserver harus ada dalam permintaan:

      "ForAnyValue:StringEquals": { "aws:TagKeys": ["environment","webserver"] }

Kunci kondisi ini dapat diterapkan ke tindakan pembuatan sumber daya yang mendukung penandaan, serta tindakan. ecs:TagResource Untuk mengetahui apakah ECS API tindakan Amazon mendukung penandaan, lihat Tindakan, sumber daya, dan kunci kondisi untuk Amazon ECS.

Untuk memaksa para pengguna menentukan tanda pada saat mereka membuat sumber daya, Anda harus menggunakan kunci syarat aws:RequestTag atau kunci syarat aws:TagKeys dengan pemodifikasi ForAnyValue pada tindakan yang digunakan untuk membuat sumber daya. Tindakan ecs:TagResource tidak akan dievaluasi jika pengguna tidak menentukan tanda untuk tindakan yang digunakan untuk pembuatan sumber daya.

Untuk syarat, kunci syarat tidak bersifat peka terhadap huruf besar dan kecil dan nilai syarat bersifat peka huruf besar dan kecil. Oleh karena itu, untuk memaksakan sifat peka terhadap huruf besar atau kecil dari kunci tanda, gunakan kunci syarat aws:TagKeys, di mana kunci tanda ditetapkan sebagai nilai dalam syarat tersebut.

Untuk informasi selengkapnya tentang kondisi multi-nilai, lihat Membuat Kondisi yang Menguji Beberapa Nilai Kunci dalam Panduan IAM Pengguna.