Aggiunta di tag alle visualizzazioni - Esploratore di risorse AWS
Aggiungi tag alle tue visualizzazioniControllo delle autorizzazioni tramite tagRiferimenti ai tag in una politica ABAC

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Aggiunta di tag alle visualizzazioni

Puoi aggiungere tag alle tue visualizzazioni per classificarle. I tag sono metadati forniti dal cliente che assumono la forma di una stringa del nome chiave e di una stringa di valore opzionale associata. Per informazioni generali sull'assegnazione di tagAWS alle risorse, vedere TaggingAWS Resources in Riferimenti generali di Amazon Web Services.

Aggiungi tag alle tue visualizzazioni

È possibile aggiungere tag alle visualizzazioni di Resource Explorer utilizzandoAWS Management Console o eseguendoAWS CLI comandi o le relative operazioni API equivalenti in unAWS SDK.

AWS Management Console
Per aggiungere tag a una visualizzazione

  1. Apri la pagina Visualizzazioni di Resource Explorer e scegli il nome della vista a cui desideri assegnare un tag per visualizzarne la pagina Dettagli.

  2. In Tag, scegli Gestisci tag.

  3. Per aggiungere un tag, seleziona Aggiungi tag, quindi inserisci un nome di chiave e un valore opzionale per il tag.

    Nota

    Puoi anche eliminare un tag scegliendo la X accanto al tag.

    Puoi associare fino a 50 tag definiti dall'utente a una risorsa. Tutti i tag creati e gestiti automaticamente daAWS non vengono conteggiati in questa quota.

  4. Quando hai finito con tutte le modifiche ai tag, scegli Salva modifiche.

AWS CLI
Per aggiungere tag a una visualizzazione

Eseguire il comando riportato di seguito per aggiungere tag a una vista. L'esempio seguente aggiunge tag con il nome della chiaveenvironment e il valoreproduction alla vista specificata.

$ aws resource-explorer-2 tag-resource \
    --resource-id arn:aws:resource-explorer-2:us-east-1:123456789012:view/MyViewName/1a2b3c4d-5d6e-7f8a-9b0c-abcd11111111 \
    --tags environment=production

Se ha esito positivo, il comando precedente non produrrà alcun output.

Nota

Per rimuovere un tag esistente da una vista, usa iluntag-resource comando.

Controllo delle autorizzazioni tramite tag

Uno degli usi principali dei tag consiste nel supportare una strategia di controllo di accesso basato su attributi (ABAC). ABAC può aiutarti a semplificare la gestione delle autorizzazioni consentendoti di etichettare le risorse. Quindi, concedi l'autorizzazione agli utenti per le risorse etichettate in un determinato modo.

Considera ad esempio questo scenario. Per una vista chiamataViewA, si allega il tagenvironment=prod (nome chiave=valore). Un altroViewB potrebbe essere taggatoenvironment=beta. Taggate i ruoli e gli utenti con gli stessi tag e valori, in base all'ambiente a cui ogni ruolo o utente dovrebbe poter accedere.

Quindi, puoi assegnare una politica di autorizzazioneAWS Identity and Access Management (IAM) ai tuoi ruoli, gruppi e utenti IAM. La politica concede l'autorizzazione all'accesso e alla ricerca utilizzando una vista solo se il ruolo o l'utente che effettua la richiesta di ricerca ha unenvironment tag con lo stesso valore delenvironment tag associato alla vista.

Il vantaggio di questo approccio è che è dinamico e non richiede di mantenere un elenco di chi ha accesso a quali risorse. Ti assicuri invece che tutte le risorse (le tue visualizzazioni) e i principali (ruoli e utenti IAM) siano etichettati correttamente. Quindi, le autorizzazioni si aggiornano automaticamente senza che sia necessario modificare alcuna politica.

Riferimenti ai tag in una politica ABAC

Dopo aver contrassegnato le visualizzazioni, puoi scegliere di utilizzare tali tag per controllare l'accesso dinamico a tali viste. La seguente politica di esempio presuppone che sia i responsabili IAM che i punti di vista siano contrassegnati con la chiave del tagenvironment e un valore. Fatto ciò, puoi collegare ai tuoi dirigenti la seguente policy di esempio. I tuoi ruoli e gli utenti possono quindiSearch utilizzare qualsiasi vista contrassegnata con un valore dienvironment tag che corrisponde esattamente alenvironment tag associato al principale.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "resource-explorer-2:GetView",
                "resource-explorer-2:Search"
            ],
            "Resource": "arn:aws:resource-explorer-2:us-east-1:123456789012:view/*",
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "aws:ResourceTag/environment": "${aws:PrincipalTag/environment}"
                }
            }
        }
    ]
}

Se sia il principale che la vista hanno ilenvironment tag ma i valori non corrispondono, o se uno dei due manca ilenvironment tag, Resource Explorer nega la richiesta di ricerca.

Per ulteriori informazioni sull'utilizzo di ABAC per concedere l'accesso sicuro alle risorse, consulta A cosa serve ABACAWS?