Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Controllo degli accessi ai tag
Per aggiungere, visualizzare ed eliminare tag utilizzando iAPI, i responsabili devono disporre delle autorizzazioni di etichettatura nelle politiche. IAM
Puoi anche limitare queste autorizzazioni utilizzando le chiavi di condizione AWS globali per i tag. In AWS Payment Cryptography, queste condizioni possono controllare l'accesso alle operazioni di tagging, come e. TagResourceUntagResource
Per esempi di policy e ulteriori informazioni, consulta Controlling Access Based on Tag Keys nella Guida per l'IAMutente.
Le autorizzazioni per creare e gestire i tag funzionano come descritto di seguito.
- crittografia dei pagamenti: TagResource
-
Consente ai principali di aggiungere o modificare tag. Per aggiungere tag durante la creazione di una chiave, il principale deve disporre dell'autorizzazione in una IAM politica che non è limitata a chiavi particolari.
- crittografia dei pagamenti: ListTagsForResource
-
Consente ai presidi di visualizzare i tag sulle chiavi.
- crittografia dei pagamenti: UntagResource
-
Consente ai principali di eliminare i tag dalle chiavi.
Autorizzazioni ad assegnare tag nelle policy
È possibile fornire le autorizzazioni di etichettatura in una politica o in una politica chiave. IAM Ad esempio, la politica chiave di esempio seguente fornisce a determinati utenti l'autorizzazione a contrassegnare la chiave. Fornisce a tutti gli utenti che possono assumere l'esempio dei ruoli di Amministratore o Sviluppatore il permesso di visualizzare i tag.
{ "Version": "2012-10-17", "Id": "example-key-policy", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::111122223333:root"}, "Action": "payment-cryptography:*", "Resource": "*" }, { "Sid": "Allow all tagging permissions", "Effect": "Allow", "Principal": {"AWS": [ "arn:aws:iam::111122223333:user/LeadAdmin", "arn:aws:iam::111122223333:user/SupportLead" ]}, "Action": [ "payment-cryptography:TagResource", "payment-cryptography:ListTagsForResource", "payment-cryptography:UntagResource" ], "Resource": "*" }, { "Sid": "Allow roles to view tags", "Effect": "Allow", "Principal": {"AWS": [ "arn:aws:iam::111122223333:role/Administrator", "arn:aws:iam::111122223333:role/Developer" ]}, "Action": "payment-cryptography:ListResourceTags", "Resource": "*" } ] }
Per concedere ai principali il permesso di etichettare più chiavi, puoi utilizzare una policy. IAM Affinché questa politica sia efficace, la politica chiave per ogni chiave deve consentire all'account di utilizzare IAM le politiche per controllare l'accesso alla chiave.
Ad esempio, la seguente IAM politica consente ai principali di creare chiavi. Consente inoltre loro di creare e gestire tag su tutte le chiavi dell'account specificato. Questa combinazione consente ai responsabili di utilizzare il parametro tags dell'CreateKeyoperazione per aggiungere tag a una chiave durante la creazione.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "IAMPolicyCreateKeys", "Effect": "Allow", "Action": "payment-cryptography:CreateKey", "Resource": "*" }, { "Sid": "IAMPolicyTags", "Effect": "Allow", "Action": [ "payment-cryptography:TagResource", "payment-cryptography:UntagResource", "payment-cryptography:ListTagsForResource" ], "Resource": "arn:aws:payment-cryptography:*:111122223333:key/*" } ] }
Limitazione delle autorizzazioni ad assegnare tag
È possibile limitare le autorizzazioni di assegnazione dei tag utilizzando Condizioni della policy. Le seguenti condizioni della policy possono essere applicate alle autorizzazioni payment-cryptography:TagResource e payment-cryptography:UntagResource. Ad esempio, è possibile utilizzare la condizione aws:RequestTag/tag-key per consentire a un principale di aggiungere solo tag specifici o impedire a un principale di aggiungere tag con chiavi tag particolari.
-
aws:ResourceTag/tag-key (solo IAM politiche)
Come best practice quando usi i tag per controllare l'accesso alle chiavi, usa il tasto aws:RequestTag/tag-key o aws:TagKeys condition per determinare quali tag (o chiavi di tag) sono consentiti.
Ad esempio, la seguente IAM politica è simile a quella precedente. Tuttavia, questa policy consente ai principali di creare tag (TagResource) ed eliminare i tag UntagResource solo per i tag con chiave di tag Project.
Poiché TagResource le UntagResource richieste possono includere più tag, è necessario specificare un operatore ForAllValues o ForAnyValue impostare con la TagKeys condizione aws:. L’operatore ForAnyValue richiede che almeno una delle chiavi di tag nella richiesta corrisponda a una delle chiavi di tag nella policy. L’operatore ForAllValues richiede che tutte le chiavi di tag nella richiesta corrispondano a una delle chiavi di tag nella policy. L'ForAllValuesoperatore restituisce anche true se non ci sono tag nella richiesta, ma TagResource UntagResource fallisce quando non viene specificato alcun tag. Per i dettagli sugli operatori impostati, consulta Utilizzare più chiavi e valori nella Guida per l'IAMutente.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "IAMPolicyCreateKey", "Effect": "Allow", "Action": "payment-cryptography:CreateKey", "Resource": "*" }, { "Sid": "IAMPolicyViewAllTags", "Effect": "Allow", "Action": "payment-cryptography:ListResourceTags", "Resource": "arn:aws:payment-cryptography:*:111122223333:key/*" }, { "Sid": "IAMPolicyManageTags", "Effect": "Allow", "Action": [ "payment-cryptography:TagResource", "payment-cryptography:UntagResource" ], "Resource": "arn:aws:payment-cryptography:*:111122223333:key/*", "Condition": { "ForAllValues:StringEquals": {"aws:TagKeys": "Project"} } } ] }
