Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Controllo dell'accesso alle ECS risorse Amazon mediante i tag delle risorse
Quando crei una IAM policy che concede agli utenti l'autorizzazione a utilizzare ECS le risorse Amazon, puoi includere informazioni sui tag nell'Condition
elemento della policy per controllare l'accesso in base ai tag. Questo è noto come controllo degli accessi basato su attributi (). ABAC ABACfornisce un miglior controllo su quali risorse possono essere modificate, utilizzate o eliminate da un utente. Per ulteriori informazioni, consulta A cosa ABAC serve AWS?
Ad esempio, è possibile creare una policy che consenta agli utenti di eliminare un cluster ma che neghi l'operazione se il cluster ha il tag environment=production
. A tale scopo, è possibile utilizzare la chiave di condizione aws:ResourceTag
per consentire o negare l'accesso alla risorsa in base ai tag collegati alla risorsa.
"StringEquals": { "aws:ResourceTag/environment": "production" }
Per sapere se un'ECSAPIoperazione Amazon supporta il controllo degli accessi utilizzando la chiave di aws:ResourceTag
condizione, consulta Operazioni, risorse e chiavi di condizione per Amazon ECS. Tieni a mente che le operazioni Describe
non supportano le autorizzazioni a livello di risorsa, pertanto è necessario specificarle in una dichiarazione separata senza condizioni.
Ad esempio, consulta IAM le politicheECSEsempi di politiche Amazon .
Se consenti o neghi a un utente l'accesso a risorse in base ai tag, devi considerare esplicitamente di negare agli utenti la possibilità di aggiungere o rimuovere tali tag dalle stesse risorse. In caso contrario, un utente può eludere le restrizioni e ottenere l'accesso a una risorsa modificandone i tag.