Esempi di assegnazione di tag Tag di sicurezza Controllo dell'accesso ai tag

Supporto al tagging per l'Applicazione di Dimensionamento automatico

Puoi utilizzare AWS CLI o un SDK per etichettare i target scalabili di Application Auto Scaling. Gli obiettivi scalabili sono le entità che rappresentano le AWS o le risorse personalizzate scalabili da Application Auto Scaling.

Ogni tag è un'etichetta composta da una chiave e da un valore definiti dall'utente utilizzando l'Applicazione di Dimensionamento automatico API. I tag possono aiutarti a configurare l'accesso granulare a obiettivi scalabili specifici in base alle esigenze dell'organizzazione. Per ulteriori informazioni, consulta ABACcon Application Auto Scaling.

È possibile aggiungere tag a nuovi obiettivi scalabili al momento della loro registrazione oppure è possibile aggiungerli agli obiettivi scalabili esistenti.

I comandi comunemente utilizzati per la gestione dei tag includono:

register-scalable-target per taggare nuovi obiettivi scalabili quando li registri.
tag-resource per aggiungere tag a un obiettivo scalabile esistente.
list-tags-for-resource per restituire i tag su un obiettivo scalabile.
untag-resource per eliminare un tag.

Esempi di assegnazione di tag

Utilizza il comando register-scalable-target con l'opzione --tags. Questo esempio contrassegna un obiettivo scalabile con due tag: una chiave tag denominata environment con il valore tag production e una chiave tag denominata iscontainerbased con il valore tag true.

Sostituisci i valori di esempio per --max-capacity and --min-capacity e il testo di esempio per --service-namespace con lo spazio dei nomi del AWS servizio che stai utilizzando con Application Auto Scaling--scalable-dimension, con la dimensione scalabile associata alla risorsa che stai registrando --resource-id e con un identificatore per la risorsa. Per maggiori informazioni ed esempi per ogni servizio, consulta gli argomenti in Servizi AWS che puoi usare con Application Auto Scaling.


aws application-autoscaling register-scalable-target \
  --service-namespace namespace \
  --scalable-dimension dimension \
  --resource-id identifier \
  --min-capacity 1 --max-capacity 10 \
  --tags environment=production,iscontainerbased=true

In caso di esito positivo, il comando restituisce l'ARN dell'obiettivo scalabile.


{
    "ScalableTargetARN": "arn:aws:application-autoscaling:region:account-id:scalable-target/1234abcd56ab78cd901ef1234567890ab123"
}

Nota

Se questo comando genera un errore, assicurati di averlo aggiornato localmente alla versione più recente. AWS CLI

Tag di sicurezza

Utilizza i tag per verificare che il richiedente (ad esempio un utente IAM o un ruolo IAM) disponga delle autorizzazioni per eseguire determinate azioni. Fornire informazioni sui tag nell'elemento condizione di una policy IAM utilizzando una o più delle seguenti chiavi di condizione:

Utilizza aws:ResourceTag/tag-key: tag-value per concedere (o negare) agli utenti operazioni su obiettivi scalabili con tag specifici.
Utilizza aws:RequestTag/tag-key: tag-value per richiedere che un tag specifico sia presente (o non presente) in una richiesta.
Utilizza aws:TagKeys [tag-key, ...] per richiedere che chiavi tag specifiche siano presenti (o non presenti) in una richiesta.

Per esempio, la seguente policy IAM concede all'utente le autorizzazioni per le operazioni seguenti: DeregisterScalableTarget, DeleteScalingPolicy e DeleteScheduledAction. Tuttavia, nega anche l'azione se l'obiettivo scalabile su cui si sta agendo ha il tag environment=production.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [        
                "application-autoscaling:DeregisterScalableTarget",
                "application-autoscaling:DeleteScalingPolicy",
                "application-autoscaling:DeleteScheduledAction"
            ],
            "Resource": "*"
            }
        },
        {
            "Effect": "Deny",
            "Action": [        
                "application-autoscaling:DeregisterScalableTarget",
                "application-autoscaling:DeleteScalingPolicy",
                "application-autoscaling:DeleteScheduledAction"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {"aws:ResourceTag/environment": "production"}
            }
        }
    ]
}

Controllo dell'accesso ai tag

Utilizza i tag per verificare che il richiedente (ad esempio un utente IAM o un ruolo IAM) disponga delle autorizzazioni necessarie per aggiungere, modificare o eliminare i tag per gli obiettivi scalabili.

Ad esempio, è possibile creare una policy IAM che consente di rimuovere dagli obiettivi scalabili solo il tag con la chiave temporary.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "application-autoscaling:UntagResource",
            "Resource": "*",
            "Condition": {
                "ForAllValues:StringEquals": { "aws:TagKeys": ["temporary"] }
            }
        }
    ]
}

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

RegisterScalableTarget

Sicurezza