Concessione dell'autorizzazione all'assegnazione di tag alle risorse al momento della creazione - Amazon Elastic Container Service
Amazon ECS controlla l'accesso a tag specifici

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Concessione dell'autorizzazione all'assegnazione di tag alle risorse al momento della creazione

Le seguenti operazioni di Amazon per l'ECSAPIassegnazione di tag al momento della creazione consentono di specificare tag quando crei la risorsa. Se i tag vengono specificati nell'azione di creazione delle risorse, AWS esegue autorizzazioni aggiuntive per verificare che siano assegnate le autorizzazioni correte per la creazione di tag.

  • CreateCapacityProvider

  • CreateCluster

  • CreateService

  • CreateTaskSet

  • RegisterContainerInstance

  • RegisterTaskDefinition

  • RunTask

  • StartTask

È possibile utilizzare i tag delle risorse per implementare il controllo basato sugli attributi (). ABAC Per ulteriori informazioni, consulta Controllo dell'accesso alle ECS risorse Amazon mediante i tag delle risorse e Etichettare le risorse Amazon ECS.

Per consentire l'assegnazione di tag al momento della creazione, crea o modifica una policy che includa sia le autorizzazioni per utilizzare l'operazione che crea la risorsa, ad esempio ecs:CreateCluster o ecs:RunTask, sia l'operazione ecs:TagResource.

Ad esempio, la seguente policy consente gli utenti di creare cluster e aggiungere tag durante la creazione del cluster. Gli utenti non sono autorizzati ad applicare tag alle risorse esistenti (non possono chiamare l'operazione ecs:TagResource direttamente).

{
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
         "ecs:CreateCluster"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
         "ecs:TagResource"
      ],
      "Resource": "*",
      "Condition": {
         "StringEquals": {
                  "ecs:CreateAction": [
                      "CreateCluster",
                      "CreateCapacityProvider",
                      "CreateService",
                      "CreateTaskSet",
                      "RegisterContainerInstance",
                      "RegisterTaskDefinition",
                      "RunTask",
                      "StartTask"
                  ]
          }
       }
    }
  ]
}

L'operazione ecs:TagResource viene valutata solo se i tag vengono applicati durante l'operazione di creazione di risorse. Pertanto, un utente con le autorizzazioni per la creazione di una risorsa (presupponendo che non siano presenti condizioni di assegnazione di tag) non necessità delle autorizzazioni per utilizzare l'operazione ecs:TagResource se nella richiesta non viene specificato alcun tag. Tuttavia, se l'utente tenta di creare una risorsa con tag, la richiesta ha esito negativo se non dispone delle autorizzazioni per utilizzare l'operazione ecs:TagResource.

Amazon ECS controlla l'accesso a tag specifici

È possibile utilizzare condizioni aggiuntive nell'Conditionelemento delle IAM policy per controllare le chiavi dei tag e i valori che possono essere applicati alle risorse.

Le seguenti chiavi di condizione possono essere utilizzate con gli esempi nella sezione precedente:

  • aws:RequestTag: indica che una chiave di tag o una chiave e un valore di tag sono presenti in una richiesta. Anche gli altri tag devono essere specificati nella richiesta.

    • Da utilizzare assieme all'operatore di condizione StringEquals per applicare una combinazione specifica di chiave e valore di tag, ad esempio per applicare il tag cost-center=cc123:

      "StringEquals": { "aws:RequestTag/cost-center": "cc123" }

    • Da utilizzare assieme all'operatore di condizione StringLike per applicare una chiave di tag specifica nella richiesta, ad esempio per applicare la chiave di tag purpose:

      "StringLike": { "aws:RequestTag/purpose": "*" }

  • aws:TagKeys: applica le chiavi di tag utilizzate nella richiesta.

    • Da utilizzare assieme al modificatore ForAllValues per applicare chiavi di tag specifiche se vengono fornite nella richiesta (se i tag vengono specificati nella richiesta, solo le chiavi di tag specifiche sono consentite; non sono consentiti altri tag). Ad esempio, la chiave di tag environment o cost-center è consentita:

      "ForAllValues:StringEquals": { "aws:TagKeys": ["environment","cost-center"] }

    • Da utilizzare assieme al modificatore ForAnyValue per implementare la presenza di almeno una delle chiavi di tag specificate nella richiesta. Ad esempio, nella richiesta deve essere presente almeno una delle chiavi di tag environment o webserver:

      "ForAnyValue:StringEquals": { "aws:TagKeys": ["environment","webserver"] }

Queste chiavi di condizione possono essere applicate alle operazioni di creazione di risorse che supportano l'assegnazione di tag, nonché alle operazioni ecs:TagResource. Per sapere se un'ECSAPIoperazione Amazon supporta l'aggiunta di tag, consulta Operazioni, risorse e chiavi di condizione per Amazon ECS.

Per obbligare gli utenti a specificare i tag quando creano una risorsa, devi utilizzare la chiave di condizione aws:RequestTag o aws:TagKeys con il modificatore ForAnyValue nell'operazione di creazione delle risorse. L'operazione ecs:TagResource non viene valutata se un utente non specifica i tag per l'operazione di creazione delle risorse.

Per le condizioni, la chiave di condizione non fa distinzione tra maiuscole e minuscole, mentre il valore della condizione fa distinzione tra maiuscole e minuscole. Pertanto, per applicare la distinzione tra maiuscole e minuscole per una chiave di tag, utilizza la chiave di condizione aws:TagKeys, specificando la chiave di tag come valore nella condizione.

Per ulteriori informazioni sulle condizioni con più valori, consulta la sezione Condizioni con valori o chiavi di contesto multipli nella Guida per l'IAMutente.