Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Utilizzo dei tag con policy IAM
Puoi applicare autorizzazioni a livello di risorsa basate su tag nelle politiche che utilizzi per le azioni. IAM AWS IoT
API In questo modo è possibile controllare meglio le risorse che un utente può creare, modificare o utilizzare. Utilizzi l'Condition
elemento (chiamato anche Condition
blocco) con le seguenti chiavi e valori contestuali delle condizioni in una IAM politica per controllare l'accesso degli utenti (autorizzazioni) in base ai tag di una risorsa:
-
Utilizza
aws:ResourceTag/
per concedere o negare agli utenti operazioni su risorse con specifici tag.tag-key
:tag-value
-
aws:RequestTag/
Da utilizzare per richiedere che venga utilizzato (o non utilizzato) un tag specifico quando si effettua una API richiesta per creare o modificare una risorsa che consente i tag.tag-key
:tag-value
-
aws:TagKeys: [
Da utilizzare per richiedere che venga utilizzato (o non utilizzato) un set specifico di chiavi di tag quando si effettua una API richiesta per creare o modificare una risorsa che consente i tag.tag-key
, ...]
Nota
Le chiavi e i valori del contesto della condizione in una IAM policy si applicano solo a quelle AWS IoT azioni in cui un identificatore di una risorsa che può essere taggata è un parametro obbligatorio. Ad esempio, l'uso di non DescribeEndpointè consentito o negato sulla base delle chiavi e dei valori del contesto della condizione perché in questa richiesta non viene fatto riferimento a nessuna risorsa etichettabile (gruppi di oggetti, tipi di oggetti, regole degli argomenti, job o profilo di sicurezza). Per ulteriori informazioni sulle AWS IoT risorse etichettabili e sulle chiavi di condizione che supportano, leggi Azioni, risorse e chiavi di condizione per. AWS IoT
Per ulteriori informazioni sull'utilizzo dei tag, consulta Controllo degli accessi tramite tag nella Guida per l'utente di AWS Identity and Access Management . La sezione IAMJSONPolicy Reference di quella guida contiene sintassi, descrizioni ed esempi dettagliati degli elementi, delle variabili e della logica di valutazione delle JSON politiche in. IAM
La policy di esempio seguente applica due restrizioni basate su tag per operazioni in ThingGroup
. Un IAM utente limitato da questa politica:
-
Non può creare un gruppo di oggetti con il tag "env=prod" (nell'esempio, consulta la riga
"aws:RequestTag/env" : "prod"
). -
Non può modificare o accedere a un gruppo di oggetti con un tag "env=prod" esistente (nell'esempio, consulta la riga
"aws:ResourceTag/env" : "prod"
).
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "iot:CreateThingGroup", "Resource": "*", "Condition": { "StringEquals": { "aws:RequestTag/env": "prod" } } }, { "Effect": "Deny", "Action": [ "iot:CreateThingGroup", "iot:DeleteThingGroup", "iot:DescribeThingGroup", "iot:UpdateThingGroup" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceTag/env": "prod" } } }, { "Effect": "Allow", "Action": [ "iot:CreateThingGroup", "iot:DeleteThingGroup", "iot:DescribeThingGroup", "iot:UpdateThingGroup" ], "Resource": "*" } ] }
È anche possibile specificare più valori di tag per una determinata chiave tag racchiudendoli in un elenco, come segue:
"StringEquals" : { "aws:ResourceTag/env" : ["dev", "test"] }
Nota
Se consenti o neghi a un utente l'accesso a risorse in base ai tag, devi considerare esplicitamente di negare agli utenti la possibilità di aggiungere o rimuovere tali tag dalle stesse risorse. In caso contrario, un utente può eludere le restrizioni e ottenere l'accesso a una risorsa modificandone i tag.