Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Utilizzo dei tag per controllare l'accesso alle CodeArtifact risorse
<a name="tag-based-access-control"></a>

Le condizioni nelle istruzioni relative alle policy degli utenti di IAM fanno parte della sintassi utilizzata per specificare le autorizzazioni per le risorse richieste dalle azioni. CodeArtifact L'utilizzo di tag nelle condizioni è un modo per controllare l'accesso alle risorse e alle richieste. Per informazioni sull'etichettatura delle CodeArtifact risorse, consulta. [Applicazione di tag alle risorse](tag-resources.md) In questo argomento viene illustrato il controllo degli accessi basato su tag.

Durante la progettazione di policy IAM, potrebbe essere necessario impostare autorizzazioni granulari concedendo l'accesso a risorse specifiche. Poiché il numero di risorse che puoi gestire cresce, questa operazione diventa più difficile. Il tagging delle risorse e l'utilizzo di tag in condizioni di dichiarazione di policy possono semplificare questa attività. Puoi concedere l'accesso in blocco a qualsiasi risorsa con un determinato tag. Quindi applicare ripetutamente questo tag a risorse pertinenti, durante la creazione o in seguito.

I tag possono essere collegati alla risorsa o trasferiti nella richiesta verso servizi che supportano il tagging. In CodeArtifact, le risorse possono avere tag e alcune azioni possono includere tag. Quando si crea una policy IAM, è possibile utilizzare le chiavi di condizione di tag per controllare:
+ Quali utenti possono eseguire azioni su un dominio o su una risorsa del repository, in base ai tag già presenti.
+ Quali tag possono essere passati in una richiesta di operazione.
+ Se delle chiavi di tag specifiche possono essere utilizzate in una richiesta.

Per la sintassi completa e la semantica delle chiavi di condizione di tag, consulta [Controllo degli accessi tramite tag](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html) nella *Guida per l’utente di IAM*.

**Importante**  
Quando si utilizzano tag sulle risorse per limitare le azioni, i tag devono riferirsi alla risorsa su cui opera l'azione. Ad esempio, per negare `DescribeRepository` le autorizzazioni con i tag, i tag devono trovarsi su ogni repository e non sul dominio. Consulta [AWS CodeArtifact riferimento alle autorizzazioni](auth-and-access-control-permissions-reference.md) l'elenco delle azioni CodeArtifact e delle risorse su cui operano.

## Esempi di controllo degli accessi basato su tag
<a name="tag-based-access-control-examples"></a>

I seguenti esempi mostrano come specificare le condizioni dei tag nelle policy per gli utenti CodeArtifact .

**Example 1: Limitare le operazioni in base ai tag nella richiesta**  
La politica degli utenti `AWSCodeArtifactAdminAccess` gestiti offre agli utenti il permesso illimitato di eseguire qualsiasi CodeArtifact azione su qualsiasi risorsa.  
La seguente politica limita questo potere e nega agli utenti non autorizzati l'autorizzazione a creare repository a meno che la richiesta non contenga determinati tag. Per fare ciò, nega l'`CreateRepository`azione se la richiesta non specifica un tag denominato `costcenter` con uno dei valori o. `1` `2` L'amministratore di un cliente deve collegare questa policy IAM a utenti IAM non autorizzati oltre alla policy gestita dall'utente.    
****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Deny",
      "Action": "codeartifact:CreateRepository",
      "Resource": "*",
      "Condition": {
        "Null": {
          "aws:RequestTag/costcenter": "true"
        }
      }
    },
    {
      "Effect": "Deny",
      "Action": "codeartifact:CreateRepository",
      "Resource": "*",
      "Condition": {
          "ForAnyValue:StringNotEquals": {
              "aws:RequestTag/costcenter": [
                  "1",
                  "2"
              ]
          }
      }
  }
  ]
}
```

**Example 2: Limitare le operazioni in base ai tag delle risorse**  
La politica degli utenti `AWSCodeArtifactAdminAccess` gestiti offre agli utenti il permesso illimitato di eseguire qualsiasi CodeArtifact azione su qualsiasi risorsa.  
La seguente politica limita questo potere e nega agli utenti non autorizzati l'autorizzazione a eseguire azioni sui repository in domini specifici. A tale scopo, rifiuta alcune operazioni se la risorsa ha un tag denominato `Key1` con uno dei valori `Value1` o `Value2`. La chiave di condizione `aws:ResourceTag` viene utilizzata per controllare l'accesso alle risorse in base ai tag su tali risorse. L'amministratore di un cliente deve collegare questa policy IAM a utenti IAM non autorizzati oltre alla policy gestita dall'utente.    
****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Deny",
      "Action": [
        "codeartifact:TagResource",
        "codeartifact:UntagResource",
        "codeartifact:DescribeDomain",
        "codeartifact:DescribeRepository",
        "codeartifact:PutDomainPermissionsPolicy",
        "codeartifact:PutRepositoryPermissionsPolicy",
        "codeartifact:ListRepositoriesInDomain",
        "codeartifact:UpdateRepository",
        "codeartifact:ReadFromRepository",
        "codeartifact:ListPackages",
        "codeartifact:ListTagsForResource"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:ResourceTag/Key1": ["Value1", "Value2"]
        }
      }
    }
  ]
}
```

**Example 3: Consenti azioni basate sui tag delle risorse**  
La seguente politica concede agli utenti il permesso di eseguire azioni e ottenere informazioni su repository e pacchetti in essi contenuti. CodeArtifact  
A tal fine, consente azioni specifiche se il repository ha un tag denominato `Key1` con lo stesso valore. `Value1` La chiave di condizione `aws:RequestTag` viene utilizzata per controllare quali tag possono essere passati in una richiesta IAM. La condizione `aws:TagKeys` garantisce che la chiave tag rileva la distinzione tra maiuscole e minuscole. Questa policy è utile per gli utenti IAM che non dispongono della policy gestita dall'utente `AWSCodeArtifactAdminAccess` collegata. La politica gestita offre agli utenti il permesso illimitato di eseguire qualsiasi CodeArtifact azione su qualsiasi risorsa.    
****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "codeartifact:UpdateRepository",
        "codeartifact:DeleteRepository",
        "codeartifact:ListPackages"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:ResourceTag/Key1": "Value1"
        }
      }
    }
  ]
}
```

**Example 4: Consenti azioni basate sui tag nella richiesta**  
La seguente politica concede agli utenti il permesso di creare repository in domini specifici in. CodeArtifact  
A tale scopo, consente `TagResource` le azioni `CreateRepository` and se l'API di creazione della risorsa nella richiesta specifica un tag denominato `Key1` con il valore. `Value1` La chiave di condizione `aws:RequestTag` viene utilizzata per controllare quali tag possono essere passati in una richiesta IAM. La condizione `aws:TagKeys` garantisce che la chiave tag rileva la distinzione tra maiuscole e minuscole. Questa policy è utile per gli utenti IAM che non dispongono della policy gestita dall'utente `AWSCodeArtifactAdminAccess` collegata. La politica gestita offre agli utenti il permesso illimitato di eseguire qualsiasi CodeArtifact azione su qualsiasi risorsa.    
****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "codeartifact:CreateRepository",
        "codeartifact:TagResource"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:RequestTag/Key1": "Value1"
        }
      }
    }
  ]
}
```