Controllo dell'accesso alle risorse EC2 mediante i tag delle risorse

Quando crei una policy IAM che concede agli utenti l'autorizzazione a utilizzare le risorse EC2, puoi includere informazioni sui tag nell'elemento Condition della policy per controllare l'accesso in base ai tag. Questo è noto come controllo degli accessi basato su attributi (ABAC). Il controllo ABAC fornisce un miglior controllo su quali risorse possono essere modificate, utilizzate o eliminate da un utente. Per ulteriori informazioni, consulta Che cos'è ABAC per AWS?

Ad esempio, è possibile creare una policy che consente agli utenti di terminare un'istanza ma che neghi l'operazione se l'istanza presenta il tag environment=production. A tale scopo, è possibile utilizzare la chiave di condizione aws:ResourceTag per consentire o negare l'accesso alla risorsa in base ai tag collegati alla risorsa.

"StringEquals": { "aws:ResourceTag/environment": "production" }

Per sapere se un'operazione API Amazon EC2 supporta il controllo degli accessi utilizzando la chiave di condizione aws:ResourceTag, consulta Operazioni, risorse e chiavi di condizione per Amazon EC2. Tieni a mente che le operazioni Describe non supportano le autorizzazioni a livello di risorsa, pertanto è necessario specificarle in una dichiarazione separata senza condizioni.

Per esempi di policy IAM, consulta Politiche di esempio per lavorare con AWS CLI o con un AWS SDK.

Se consenti o neghi a un utente l'accesso a risorse in base ai tag, devi considerare esplicitamente di negare agli utenti la possibilità di aggiungere o rimuovere tali tag dalle stesse risorse. In caso contrario, un utente può eludere le restrizioni e ottenere l'accesso a una risorsa modificandone i tag.