Contoh penandaan Tag untuk keamanan Kontrol akses ke tag

Dukungan penandaan untuk Application Auto Scaling

Anda dapat menggunakan AWS CLI atau SDK untuk menandai target Application Auto Scaling yang dapat diskalakan. Target yang dapat diskalakan adalah entitas yang mewakili AWS atau sumber daya kustom yang dapat diskalakan oleh Application Auto Scaling.

Setiap tag adalah label yang terdiri dari kunci dan nilai yang ditentukan pengguna menggunakan Application Auto Scaling API. Tag dapat membantu Anda mengonfigurasi akses terperinci ke target tertentu yang dapat diskalakan sesuai dengan kebutuhan organisasi Anda. Untuk informasi selengkapnya, lihat ABACdengan Application Auto Scaling.

Anda dapat menambahkan tag ke target baru yang dapat diskalakan saat Anda mendaftarkannya, atau Anda dapat menambahkannya ke target skalabel yang ada.

Perintah yang umum digunakan untuk mengelola tag meliputi:

register-scalable-target untuk menandai target baru yang dapat diskalakan saat Anda mendaftarkannya.
tag-resource untuk menambahkan tag ke target skalabel yang ada.
list-tags-for-resource untuk mengembalikan tag pada target yang dapat diskalakan.
untag-resource untuk menghapus tag.

Contoh penandaan

Gunakan perintah register-scalable-target berikut dengan opsi. --tags Contoh ini menandai target yang dapat diskalakan dengan dua tag: kunci tag bernama environment dengan nilai tag dariproduction, dan kunci tag bernama iscontainerbased dengan nilai true tag.

Ganti nilai sampel untuk --min-capacity dan --max-capacity dan contoh teks --service-namespace dengan namespace AWS layanan yang Anda gunakan dengan Application Auto Scaling--scalable-dimension, dengan dimensi skalabel yang terkait dengan sumber daya yang Anda daftarkan, --resource-id dan dengan pengenal untuk sumber daya. Untuk informasi selengkapnya dan contoh untuk setiap layanan, lihat topik diLayanan AWS yang dapat Anda gunakan dengan Application Auto Scaling.


aws application-autoscaling register-scalable-target \
  --service-namespace namespace \
  --scalable-dimension dimension \
  --resource-id identifier \
  --min-capacity 1 --max-capacity 10 \
  --tags environment=production,iscontainerbased=true

Jika berhasil, perintah ini mengembalikan ARN dari target yang dapat diskalakan.


{
    "ScalableTargetARN": "arn:aws:application-autoscaling:region:account-id:scalable-target/1234abcd56ab78cd901ef1234567890ab123"
}

catatan

Jika perintah ini menimbulkan kesalahan, pastikan Anda telah memperbarui AWS CLI secara lokal ke versi terbaru.

Tag untuk keamanan

Gunakan tag untuk memverifikasi bahwa pemohon (seperti pengguna atau peran IAM) memiliki izin untuk melakukan tindakan tertentu. Berikan informasi tag dalam elemen kondisi kebijakan IAM dengan menggunakan satu atau beberapa kunci kondisi berikut:

Gunakan aws:ResourceTag/tag-key: tag-value untuk mengizinkan (atau menolak) tindakan pengguna pada target yang dapat diskalakan dengan tag tertentu.
Gunakan aws:RequestTag/tag-key: tag-value untuk meminta tag khusus dapat ada (atau tidak ada) dalam permintaan.
Gunakan aws:TagKeys [tag-key, ...] untuk meminta kunci khusus dapat ada (atau tidak ada) dalam permintaan.

Misalnya, kebijakan IAM berikut memberikan izin untuk menggunakanDeregisterScalableTarget,DeleteScalingPolicy, dan tindakan. DeleteScheduledAction Namun, itu juga menyangkal tindakan jika target yang dapat diskalakan yang ditindaklanjuti memiliki tag environment =. production


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [        
                "application-autoscaling:DeregisterScalableTarget",
                "application-autoscaling:DeleteScalingPolicy",
                "application-autoscaling:DeleteScheduledAction"
            ],
            "Resource": "*"
            }
        },
        {
            "Effect": "Deny",
            "Action": [        
                "application-autoscaling:DeregisterScalableTarget",
                "application-autoscaling:DeleteScalingPolicy",
                "application-autoscaling:DeleteScheduledAction"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {"aws:ResourceTag/environment": "production"}
            }
        }
    ]
}

Kontrol akses ke tag

Gunakan tag untuk memverifikasi bahwa pemohon (seperti pengguna atau peran IAM) memiliki izin untuk menambahkan, memodifikasi, atau menghapus tag untuk target yang dapat diskalakan.

Misalnya, Anda dapat membuat kebijakan IAM yang memungkinkan penghapusan hanya tag dengan temporary kunci dari target yang dapat diskalakan.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "application-autoscaling:UntagResource",
            "Resource": "*",
            "Condition": {
                "ForAllValues:StringEquals": { "aws:TagKeys": ["temporary"] }
            }
        }
    ]
}

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

RegisterScalableTarget

Keamanan