Menggunakan tag untuk mengontrol akses ke sumber Elastic Beanstalk - AWS Elastic Beanstalk
Contoh

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menggunakan tag untuk mengontrol akses ke sumber Elastic Beanstalk

Topik ini menjelaskan bagaimana kontrol akses berbasis tag dapat membantu Anda membuat dan mengelola IAM kebijakan.

Kita dapat menggunakan kondisi dalam pernyataan kebijakan IAM pengguna untuk mengonfigurasi izin untuk akses Elastic Beanstalk ke sumber daya. Untuk mempelajari lebih lanjut tentang kondisi pernyataan kebijakan, lihatSumber daya dan kondisi untuk tindakan Elastic Beanstalk. Menggunakan tanda dalam kondisi adalah salah satu cara untuk mengontrol akses ke sumber daya dan permintaan. Untuk informasi tentang pemberian tag sumber Elastic Beanstalk, lihat Pelabelan sumber daya aplikasi Elastic Beanstalk.

Saat merancang IAM kebijakan, Anda mungkin menetapkan izin terperinci dengan memberikan akses ke sumber daya tertentu. Saat jumlah sumber daya yang Anda kelola bertambah, tugas ini menjadi lebih sulit. Menandai sumber daya dan menggunakan tanda dalam kondisi pernyataan kebijakan dapat mempermudah tugas ini. Anda memberikan akses secara massal ke sumber daya dengan tag tertentu. Kemudian Anda menerapkan tag ini berulang kali ke sumber daya yang relevan, selama pembuatan atau yang lebih baru.

Tag dapat dilampirkan ke sumber daya atau diteruskan atas permintaan ke layanan yang mendukung penandaan. Di Elastic Beanstalk, sumber daya dapat memiliki tag, dan beberapa tindakan dapat mencakup tag. Saat membuat IAM kebijakan, Anda dapat menggunakan kunci kondisi tag untuk mengontrol kondisi berikut:

  • Manakah pengguna yang dapat melakukan tindakan pada distribusi, berdasarkan tag yang telah dimiliki.

  • Tag apa yang dapat diteruskan dalam permintaan tindakan.

  • Apakah kunci tag tertentu dapat digunakan dalam permintaan.

Untuk sintaks dan semantik lengkap kunci kondisi tag, lihat Mengontrol Akses Menggunakan Tag di Panduan Pengguna. IAM

Contoh kondisi tag dalam kebijakan

Contoh berikut ini mendemosntrasikan cara menentukan syarat tag dalam kebijakan bagi pengguna Elastic Beanstalk.

contoh 1: Batasi tindakan berdasarkan tag dalam permintaan

Kebijakan pengguna yang dikelola AdministratorAccessElastic AWSElasticBeanstalk Beanstalk memberi pengguna izin tak terbatas untuk melakukan tindakan Elastic Beanstalk pada sumber daya yang dikelola Elastic Beanstalk.

Kebijakan berikut membatasi kekuatan ini dan menolak izin pengguna yang tidak sah untuk membuat lingkungan produksi Elastic Beanstalk. Untuk melakukan itu, ia menolak tindakan CreateEnvironment jika permintaan menentukan tag bernama stage dengan salah satu nilai gamma atau prod. Selain itu, kebijakan ini mencegah pengguna yang tidak berwenang merusak tahap lingkungan produksi dengan tidak mengizinkan tindakan modifikasi tag untuk memasukkan nilai tag yang sama ini atau sepenuhnya menghapus tag stage. Administrator pelanggan harus melampirkan IAM kebijakan ini kepada IAM pengguna yang tidak sah, selain kebijakan pengguna yang dikelola.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": [
        "elasticbeanstalk:CreateEnvironment",
        "elasticbeanstalk:AddTags"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:RequestTag/stage": ["gamma", "prod"]
        }
      }
    },
    {
      "Effect": "Deny",
      "Action": [
        "elasticbeanstalk:RemoveTags"
      ],
      "Resource": "*",
      "Condition": {
        "ForAnyValue:StringEquals": {
          "aws:TagKeys": ["stage"]
        }
      }
    }
  ]
}
contoh 2: Batasi tindakan berdasarkan tanda sumber daya

Kebijakan pengguna yang dikelola AdministratorAccessElastic AWSElasticBeanstalk Beanstalk memberi pengguna izin tak terbatas untuk melakukan tindakan Elastic Beanstalk pada sumber daya yang dikelola Elastic Beanstalk.

Kebijakan berikut membatasi kekuatan ini dan menolak izin pengguna yang tidak sah untuk melakukan tindakan pada lingkungan produksi Elastic Beanstalk. Untuk melakukan itu, ia menyangkal tindakan tertentu jika lingkungan memiliki tag bernama stage dengan salah satu nilai gamma atau prod. Administrator pelanggan harus melampirkan IAM kebijakan ini kepada IAM pengguna yang tidak sah, selain kebijakan pengguna yang dikelola.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": [
        "elasticbeanstalk:AddTags",
        "elasticbeanstalk:RemoveTags",
        "elasticbeanstalk:DescribeEnvironments",
        "elasticbeanstalk:TerminateEnvironment",
        "elasticbeanstalk:UpdateEnvironment",
        "elasticbeanstalk:ListTagsForResource"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:ResourceTag/stage": ["gamma", "prod"]
        }
      }
    }
  ]
}
contoh 3: Izinkan tindakan berdasarkan tag dalam permintaan

Kebijakan berikut memberikan izin pengguna untuk membuat aplikasi pengembangan Elastic Beanstalk.

Untuk melakukan itu, memungkinkan tindakan CreateApplication dan AddTags jika permintaan menentukan tag bernama stage dengan nilai development. Syarat aws:TagKeys memastikan bahwa pengguna tidak dapat menambahkan kunci tag lainnya. Secara khusus, memastikan sensitivitas kasus kunci tag stage. Perhatikan bahwa kebijakan ini berguna bagi IAM pengguna yang tidak memiliki kebijakan pengguna yang dikelola AdministratorAccessElastic AWSElasticBeanstalk Beanstalk. Kebijakan yang terkelola memberikan pengguna izin tak terbatas untuk melakukan tindakan Elastic Beanstalk pada sumber daya yang dikelola Elastic Beanstalk.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "elasticbeanstalk:CreateApplication",
        "elasticbeanstalk:AddTags"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:RequestTag/stage": "development"
        },
        "ForAllValues:StringEquals": {
          "aws:TagKeys": ["stage"]
        }
      }
    }
  ]
}
contoh 4: Izinkan tindakan berdasarkan tag sumber daya

Kebijakan berikut memberikan pengguna izin untuk melakukan tindakan, dan mendapatkan informasi tentang, aplikasi pengembangan Elastic Beanstalk.

Untuk melakukan itu, memungkinkan tindakan tertentu jika aplikasi memiliki tag bernama stage dengan nilai development. Syarat aws:TagKeys memastikan bahwa pengguna tidak dapat menambahkan kunci tag lainnya. Secara khusus, memastikan sensitivitas kasus kunci tag stage. Perhatikan bahwa kebijakan ini berguna bagi IAM pengguna yang tidak memiliki kebijakan pengguna yang dikelola AdministratorAccessElastic AWSElasticBeanstalk Beanstalk. Kebijakan yang terkelola memberikan pengguna izin tak terbatas untuk melakukan tindakan Elastic Beanstalk pada sumber daya yang dikelola Elastic Beanstalk.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "elasticbeanstalk:UpdateApplication",
        "elasticbeanstalk:DeleteApplication",
        "elasticbeanstalk:DescribeApplications"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:ResourceTag/stage": "development"
        },
        "ForAllValues:StringEquals": {
          "aws:TagKeys": ["stage"]
        }
      }
    }
  ]
}