Concessione dell'autorizzazione all'assegnazione di tag alle risorse al momento della creazione - Amazon Elastic Container Service
Amazon ECS controlla l'accesso a tag specifici

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Concessione dell'autorizzazione all'assegnazione di tag alle risorse al momento della creazione

Le seguenti ECS API azioni tag-on create Amazon consentono di specificare i tag quando si crea la risorsa. Se i tag sono specificati nell'azione di creazione della risorsa, AWS esegue un'autorizzazione aggiuntiva per verificare che vengano assegnate le autorizzazioni corrette per creare tag.

  • CreateCapacityProvider

  • CreateCluster

  • CreateService

  • CreateTaskSet

  • RegisterContainerInstance

  • RegisterTaskDefinition

  • RunTask

  • StartTask

È possibile utilizzare i tag delle risorse per implementare il controllo basato sugli attributi (). ABAC Per ulteriori informazioni, consulta Controlla l'accesso alle ECS risorse di Amazon utilizzando i tag delle risorse e Etichettare le risorse Amazon ECS.

Per consentire l'assegnazione di tag al momento della creazione, crea o modifica una policy che includa sia le autorizzazioni per utilizzare l'operazione che crea la risorsa, ad esempio ecs:CreateCluster o ecs:RunTask, sia l'operazione ecs:TagResource.

L'esempio seguente illustra una politica che consente agli utenti di creare cluster e aggiungere tag durante la creazione del cluster. Gli utenti non sono autorizzati ad applicare tag alle risorse esistenti (non possono chiamare l'operazione ecs:TagResource direttamente).

{
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
         "ecs:CreateCluster"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
         "ecs:TagResource"
      ],
      "Resource": "*",
      "Condition": {
         "StringEquals": {
                  "ecs:CreateAction": [
                      "CreateCluster",
                      "CreateCapacityProvider",
                      "CreateService",
                      "CreateTaskSet",
                      "RegisterContainerInstance",
                      "RegisterTaskDefinition",
                      "RunTask",
                      "StartTask"
                  ]
          }
       }
    }
  ]
}

L'operazione ecs:TagResource viene valutata solo se i tag vengono applicati durante l'operazione di creazione di risorse. Pertanto, un utente con le autorizzazioni per la creazione di una risorsa (presupponendo che non siano presenti condizioni di assegnazione di tag) non necessità delle autorizzazioni per utilizzare l'operazione ecs:TagResource se nella richiesta non viene specificato alcun tag. Tuttavia, se l'utente tenta di creare una risorsa con tag, la richiesta ha esito negativo se non dispone delle autorizzazioni per utilizzare l'operazione ecs:TagResource.

Amazon ECS controlla l'accesso a tag specifici

Puoi utilizzare condizioni aggiuntive nell'Conditionelemento delle tue IAM politiche per controllare le chiavi e i valori dei tag che possono essere applicati alle risorse.

Le seguenti chiavi di condizione possono essere utilizzate con gli esempi nella sezione precedente:

  • aws:RequestTag: indica che una chiave di tag o una chiave e un valore di tag sono presenti in una richiesta. Anche gli altri tag devono essere specificati nella richiesta.

    • Da utilizzare assieme all'operatore di condizione StringEquals per applicare una combinazione specifica di chiave e valore di tag, ad esempio per applicare il tag cost-center=cc123:

      "StringEquals": { "aws:RequestTag/cost-center": "cc123" }

    • Da utilizzare assieme all'operatore di condizione StringLike per applicare una chiave di tag specifica nella richiesta, ad esempio per applicare la chiave di tag purpose:

      "StringLike": { "aws:RequestTag/purpose": "*" }

  • aws:TagKeys: applica le chiavi di tag utilizzate nella richiesta.

    • Da utilizzare assieme al modificatore ForAllValues per applicare chiavi di tag specifiche se vengono fornite nella richiesta (se i tag vengono specificati nella richiesta, solo le chiavi di tag specifiche sono consentite; non sono consentiti altri tag). Ad esempio, la chiave di tag environment o cost-center è consentita:

      "ForAllValues:StringEquals": { "aws:TagKeys": ["environment","cost-center"] }

    • Da utilizzare assieme al modificatore ForAnyValue per implementare la presenza di almeno una delle chiavi di tag specificate nella richiesta. Ad esempio, nella richiesta deve essere presente almeno una delle chiavi di tag environment o webserver:

      "ForAnyValue:StringEquals": { "aws:TagKeys": ["environment","webserver"] }

Queste chiavi di condizione possono essere applicate alle operazioni di creazione di risorse che supportano l'assegnazione di tag, nonché alle operazioni ecs:TagResource. Per sapere se un'ECSAPIazione Amazon supporta l'etichettatura, consulta Azioni, risorse e chiavi di condizione per Amazon ECS.

Per obbligare gli utenti a specificare i tag quando creano una risorsa, devi utilizzare la chiave di condizione aws:RequestTag o aws:TagKeys con il modificatore ForAnyValue nell'operazione di creazione delle risorse. L'operazione ecs:TagResource non viene valutata se un utente non specifica i tag per l'operazione di creazione delle risorse.

Per le condizioni, la chiave di condizione non fa distinzione tra maiuscole e minuscole, mentre il valore della condizione fa distinzione tra maiuscole e minuscole. Pertanto, per applicare la distinzione tra maiuscole e minuscole per una chiave di tag, utilizza la chiave di condizione aws:TagKeys, specificando la chiave di tag come valore nella condizione.

Per ulteriori informazioni sulle condizioni multivalore, consulta Creazione di una condizione che verifica più valori chiave nella Guida per l'IAMutente.