Utilizzo dei tag con policy IAM - AWS IoT Core

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Utilizzo dei tag con policy IAM

Puoi applicare autorizzazioni a livello di risorsa basate su tag nelle politiche che utilizzi per le azioni. IAM AWS IoT API In questo modo è possibile controllare meglio le risorse che un utente può creare, modificare o utilizzare. Utilizzi l'Conditionelemento (chiamato anche Condition blocco) con le seguenti chiavi e valori contestuali delle condizioni in una IAM politica per controllare l'accesso degli utenti (autorizzazioni) in base ai tag di una risorsa:

  • Utilizza aws:ResourceTag/tag-key: tag-value per concedere o negare agli utenti operazioni su risorse con specifici tag.

  • aws:RequestTag/tag-key: tag-valueDa utilizzare per richiedere che venga utilizzato (o non utilizzato) un tag specifico quando si effettua una API richiesta per creare o modificare una risorsa che consente i tag.

  • aws:TagKeys: [tag-key, ...]Da utilizzare per richiedere che venga utilizzato (o non utilizzato) un set specifico di chiavi di tag quando si effettua una API richiesta per creare o modificare una risorsa che consente i tag.

Nota

Le chiavi e i valori del contesto della condizione in una IAM policy si applicano solo a quelle AWS IoT azioni in cui un identificatore di una risorsa che può essere taggata è un parametro obbligatorio. Ad esempio, l'uso di non DescribeEndpointè consentito o negato sulla base delle chiavi e dei valori del contesto della condizione perché in questa richiesta non viene fatto riferimento a nessuna risorsa etichettabile (gruppi di oggetti, tipi di oggetti, regole degli argomenti, job o profilo di sicurezza). Per ulteriori informazioni sulle AWS IoT risorse etichettabili e sulle chiavi di condizione che supportano, leggi Azioni, risorse e chiavi di condizione per. AWS IoT

Per ulteriori informazioni sull'utilizzo dei tag, consulta Controllo degli accessi tramite tag nella Guida per l'utente di AWS Identity and Access Management . La sezione IAMJSONPolicy Reference di quella guida contiene sintassi, descrizioni ed esempi dettagliati degli elementi, delle variabili e della logica di valutazione delle JSON politiche in. IAM

La policy di esempio seguente applica due restrizioni basate su tag per operazioni in ThingGroup. Un IAM utente limitato da questa politica:

  • Non può creare un gruppo di oggetti con il tag "env=prod" (nell'esempio, consulta la riga "aws:RequestTag/env" : "prod").

  • Non può modificare o accedere a un gruppo di oggetti con un tag "env=prod" esistente (nell'esempio, consulta la riga "aws:ResourceTag/env" : "prod").

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": "iot:CreateThingGroup",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:RequestTag/env": "prod"
        }
      }
    },
    {
      "Effect": "Deny",
      "Action": [
        "iot:CreateThingGroup",
        "iot:DeleteThingGroup",
        "iot:DescribeThingGroup",
        "iot:UpdateThingGroup"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:ResourceTag/env": "prod"
        }
      }
    },
    {
      "Effect": "Allow",
      "Action": [
        "iot:CreateThingGroup",
        "iot:DeleteThingGroup",
        "iot:DescribeThingGroup",
        "iot:UpdateThingGroup"
      ],
      "Resource": "*"
    }
  ]
}

È anche possibile specificare più valori di tag per una determinata chiave tag racchiudendoli in un elenco, come segue: 


            "StringEquals" : {
              "aws:ResourceTag/env" : ["dev", "test"]
            }
Nota

Se consenti o neghi a un utente l'accesso a risorse in base ai tag, devi considerare esplicitamente di negare agli utenti la possibilità di aggiungere o rimuovere tali tag dalle stesse risorse. In caso contrario, un utente può eludere le restrizioni e ottenere l'accesso a una risorsa modificandone i tag.