Controllo dell'accesso alle ECS risorse Amazon mediante i tag delle risorse - Amazon Elastic Container Service

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Controllo dell'accesso alle ECS risorse Amazon mediante i tag delle risorse

Quando crei una IAM policy che concede agli utenti l'autorizzazione a utilizzare ECS le risorse Amazon, puoi includere informazioni sui tag nell'Conditionelemento della policy per controllare l'accesso in base ai tag. Questo è noto come controllo degli accessi basato su attributi (). ABAC ABACfornisce un miglior controllo su quali risorse possono essere modificate, utilizzate o eliminate da un utente. Per ulteriori informazioni, consulta A cosa ABAC serve AWS?

Ad esempio, è possibile creare una policy che consenta agli utenti di eliminare un cluster ma che neghi l'operazione se il cluster ha il tag environment=production. A tale scopo, è possibile utilizzare la chiave di condizione aws:ResourceTag per consentire o negare l'accesso alla risorsa in base ai tag collegati alla risorsa.

"StringEquals": { "aws:ResourceTag/environment": "production" }

Per sapere se un'ECSAPIoperazione Amazon supporta il controllo degli accessi utilizzando la chiave di aws:ResourceTag condizione, consulta Operazioni, risorse e chiavi di condizione per Amazon ECS. Tieni a mente che le operazioni Describe non supportano le autorizzazioni a livello di risorsa, pertanto è necessario specificarle in una dichiarazione separata senza condizioni.

Ad esempio, consulta IAM le politicheECSEsempi di politiche Amazon .

Se consenti o neghi a un utente l'accesso a risorse in base ai tag, devi considerare esplicitamente di negare agli utenti la possibilità di aggiungere o rimuovere tali tag dalle stesse risorse. In caso contrario, un utente può eludere le restrizioni e ottenere l'accesso a una risorsa modificandone i tag.