Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Policy per il controllo degli accessi basato su tag
È possibile utilizzare le condizioni della policy basata sull'identità per controllare l'accesso alle applicazioni e le esecuzioni di processi in base ai tag.
Gli esempi seguenti mostrano diversi scenari e modi di utilizzare gli operatori di condizione con chiavi di condizione EMR Serverless. Queste dichiarazioni IAM politiche sono destinate esclusivamente a scopi dimostrativi e non devono essere utilizzate in ambienti di produzione. Esistono vari modi di combinare dichiarazioni di policy per concedere o negare autorizzazioni in base alle tue esigenze. Per ulteriori informazioni sulle IAM politiche di pianificazione e test, consulta la Guida per l'IAMutente.
Importante
Negare esplicitamente l'autorizzazione per operazioni di assegnazione di tag è una possibilità da tenere in debita considerazione. Ciò impedisce agli utenti di concedersi personalmente autorizzazioni tramite tag di una risorsa che non avevi intenzione di accordare. Se le operazioni di assegnazione di tag per una risorsa non vengono negate, un utente può modificare i tag e aggirare l'intenzione delle policy basate su tag. Per un esempio di policy che nega le operazioni di tag, consulta Negazione dell'accesso per aggiungere ed eliminare tag.
Gli esempi seguenti illustrano le politiche di autorizzazione basate sull'identità utilizzate per controllare le azioni consentite con le applicazioni Serverless. EMR
Autorizzazione di operazioni solo su risorse con specifici valori di tag
Nel seguente esempio di policy, l'operatore StringEquals condition tenta di corrispondere al valore del dev reparto tag. Se il reparto tag non è stato aggiunto all'applicazione o non contiene il valoredev, la politica non si applica e le azioni non sono consentite da questa politica. Se nessun'altra dichiarazione politica consente le azioni, l'utente può lavorare solo con applicazioni che hanno questo tag con questo valore.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "emr-serverless:GetApplication" ], "Resource": "*", "Condition": { "StringEquals": { "emr-serverless:ResourceTag/department": "dev" } } } ] }
Puoi anche specificare più valori di tag utilizzando un operatore di condizione. Ad esempio, per consentire azioni sulle applicazioni in cui il department tag contiene il valore dev oppuretest, è possibile sostituire il blocco delle condizioni nell'esempio precedente con il seguente.
"Condition": { "StringEquals": { "emr-serverless:ResourceTag/department": ["dev", "test"] } }
Richiesta dell'assegnazione di tag alla creazione di una risorsa
Nell'esempio seguente, il tag deve essere applicato durante la creazione dell'applicazione.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "emr-serverless:CreateApplication" ], "Resource": "*", "Condition": { "StringEquals": { "emr-serverless:RequestTag/department": "dev" } } } ] }
La seguente dichiarazione politica consente a un utente di creare un'applicazione solo se l'applicazione ha un department tag, che può contenere qualsiasi valore.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "emr-serverless:CreateApplication" ], "Resource": "*", "Condition": { "Null": { "emr-serverless:RequestTag/department": "false" } } } ] }
Negazione dell'accesso per aggiungere ed eliminare tag
Questa politica impedisce a un utente di aggiungere o rimuovere tag su applicazioni EMR Serverless con un department tag il cui valore non dev è.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "emr-serverless:TagResource", "emr-serverless:UntagResource" ], "Resource": "*", "Condition": { "StringNotEquals": { "emr-serverless:ResourceTag/department": "dev" } } } ] }
