Utilizzo dei tag per controllare l'accesso alle risorse Elastic Beanstalk - AWS Elastic Beanstalk
Esempi

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Utilizzo dei tag per controllare l'accesso alle risorse Elastic Beanstalk

Questo argomento spiega come il controllo degli accessi basato su tag può aiutarti a creare e gestire le policy. IAM

Possiamo utilizzare le condizioni nelle dichiarazioni delle politiche IAM degli utenti per configurare le autorizzazioni per l'accesso di Elastic Beanstalk alle risorse. Per ulteriori informazioni sulle condizioni delle dichiarazioni politiche, consulta. Risorse e condizioni per le operazioni Elastic Beanstalk L'utilizzo di tag nelle condizioni è un modo per controllare l'accesso alle risorse e alle richieste. Per informazioni sull'uso dei tag per le risorse Elastic Beanstalk, consulta Tagging delle risorse dell'applicazione Elastic Beanstalk.

Quando si progettano IAM le politiche, è possibile che si impostino autorizzazioni granulari concedendo l'accesso a risorse specifiche. Poiché il numero di risorse che puoi gestire cresce, questa operazione diventa più difficile. Il tagging delle risorse e l'utilizzo di tag in condizioni di dichiarazione di policy possono semplificare questa attività. Puoi concedere l'accesso in blocco a qualsiasi risorsa con un determinato tag. Quindi applicare ripetutamente questo tag a risorse pertinenti, durante la creazione o in seguito.

I tag possono essere collegati alla risorsa o trasferiti nella richiesta verso servizi che supportano il tagging. In Elastic Beanstalk le risorse possono avere tag e le operazioni possono includere tag. Quando si crea una IAM politica, è possibile utilizzare i tasti di condizione dei tag per controllare le seguenti condizioni:

  • Quali gli utenti possono eseguire operazioni su un ambiente in base ai tag di cui dispone già;

  • Quali tag possono essere passati in una richiesta di operazione;

  • Se delle chiavi di tag specifiche possono essere utilizzate in una richiesta.

Per la sintassi e la semantica complete delle chiavi di condizione dei tag, consulta Controllare l'accesso utilizzando i tag nella Guida per l'IAMutente.

Esempi di condizioni relative ai tag nelle politiche

I seguenti esempi mostrano come specificare le condizioni dei tag nelle policy per gli utenti Elastic Beanstalk.

Esempio 1: Limitare le operazioni in base ai tag nella richiesta

La policy utente gestita da AdministratorAccessElastic AWSElasticBeanstalk Beanstalk offre agli utenti autorizzazioni illimitate per eseguire qualsiasi azione di Elastic Beanstalk su qualsiasi risorsa gestita da Elastic Beanstalk.

La policy seguente limita questa capacità e nega agli utenti non autorizzati l'autorizzazione a creare ambienti di produzione Elastic Beanstalk. A tale scopo, nega l'operazione CreateEnvironment se nella richiesta è specificato un tag denominato stage con uno dei valori gamma o prod. Inoltre, la policy impedisce a questi utenti non autorizzati di eseguire manomissioni nella fase di ambienti di produzione non consentendo operazioni di modifica volte a includere questi stessi valori di tag o a rimuovere completamente il tag stage. L'amministratore di un cliente deve collegare questa IAM politica agli utenti non autorizzati, oltre alla politica per gli utenti gestitiIAM.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": [
        "elasticbeanstalk:CreateEnvironment",
        "elasticbeanstalk:AddTags"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:RequestTag/stage": ["gamma", "prod"]
        }
      }
    },
    {
      "Effect": "Deny",
      "Action": [
        "elasticbeanstalk:RemoveTags"
      ],
      "Resource": "*",
      "Condition": {
        "ForAnyValue:StringEquals": {
          "aws:TagKeys": ["stage"]
        }
      }
    }
  ]
}
Esempio 2: Limitare le operazioni in base ai tag delle risorse

La policy utente gestita da AdministratorAccessElastic AWSElasticBeanstalk Beanstalk offre agli utenti autorizzazioni illimitate per eseguire qualsiasi azione di Elastic Beanstalk su qualsiasi risorsa gestita da Elastic Beanstalk.

La policy seguente limita questa capacità e nega agli utenti non autorizzati l'autorizzazione a eseguire operazioni sugli ambienti di produzione Elastic Beanstalk. A tale scopo, nega operazioni specifiche se l'ambiente ha un tag denominato stage con uno dei valori gamma o prod. L'amministratore di un cliente deve collegare questa IAM politica agli utenti non autorizzati, oltre alla politica per gli utenti gestitiIAM.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": [
        "elasticbeanstalk:AddTags",
        "elasticbeanstalk:RemoveTags",
        "elasticbeanstalk:DescribeEnvironments",
        "elasticbeanstalk:TerminateEnvironment",
        "elasticbeanstalk:UpdateEnvironment",
        "elasticbeanstalk:ListTagsForResource"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:ResourceTag/stage": ["gamma", "prod"]
        }
      }
    }
  ]
}
Esempio 3: Consentire operazioni in base ai tag nella richiesta

La policy seguente concede agli utenti l'autorizzazione per creare applicazioni di sviluppo Elastic Beanstalk.

A questo scopo, consente le operazioni CreateApplicatione AddTags se la richiesta specifica un tag denominato stage con il valore development. La condizione aws:TagKeys garantisce che l'utente non possa aggiungere altre chiavi di tag. In particolare, garantisce la distinzione tra maiuscole e minuscole della chiave di tag stage. Nota che questa policy è utile per IAM gli utenti a cui non è allegata la policy AdministratorAccessElastic AWSElasticBeanstalk Beanstalk - managed user. La policy gestita fornisce agli utenti l'autorizzazione illimitata per eseguire qualsiasi operazione Elastic Beanstalk su qualsiasi risorsa gestita da Elastic Beanstalk.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "elasticbeanstalk:CreateApplication",
        "elasticbeanstalk:AddTags"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:RequestTag/stage": "development"
        },
        "ForAllValues:StringEquals": {
          "aws:TagKeys": ["stage"]
        }
      }
    }
  ]
}
Esempio 4: Consentire operazioni in base ai tag delle risorse

La policy seguente concede agli utenti l’autorizzazione per eseguire operazioni, e ottenere informazioni, su applicazioni di sviluppo Elastic Beanstalk.

A questo scopo, consente operazioni specifiche se l'applicazione dispone di un tag denominato stage con il valore development. La condizione aws:TagKeys garantisce che l'utente non possa aggiungere altre chiavi di tag. In particolare, garantisce la distinzione tra maiuscole e minuscole della chiave di tag stage. Nota che questa policy è utile per IAM gli utenti a cui non è allegata la policy AdministratorAccessElastic AWSElasticBeanstalk Beanstalk - managed user. La policy gestita fornisce agli utenti l'autorizzazione illimitata per eseguire qualsiasi operazione Elastic Beanstalk su qualsiasi risorsa gestita da Elastic Beanstalk.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "elasticbeanstalk:UpdateApplication",
        "elasticbeanstalk:DeleteApplication",
        "elasticbeanstalk:DescribeApplications"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:ResourceTag/stage": "development"
        },
        "ForAllValues:StringEquals": {
          "aws:TagKeys": ["stage"]
        }
      }
    }
  ]
}