태그를 사용하여 계정 연결 리소스에 대한 액세스 제어 - Amazon CodeCatalyst
예 1: 요청의 태그를 기반으로 한 작업 허용예 2: 리소스 태그에 기반한 작업 허용

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

태그를 사용하여 계정 연결 리소스에 대한 액세스 제어

태그는 리소스에 첨부하거나 요청을 통해 태그 지정을 지원하는 서비스에 전달할 수 있습니다. 정책의 리소스에는 태그가 있을 수 있으며 정책의 일부 작업에는 태그가 포함될 수 있습니다. 태깅 조건 키에는 aws:RequestTagaws:ResourceTag 조건 키가 포함됩니다. IAM 정책을 생성하면 태그 조건 키를 사용하여 다음을 제어할 수 있습니다.

  • 연결 리소스에 이미 있는 태그를 기반으로 연결 리소스에서 작업을 수행할 수 있는 사용자

  • 작업의 요청에서 전달될 수 있는 태그

  • 요청에서 특정 키를 사용할 수 있는지 여부를 제어합니다.

다음 예제는 CodeCatalyst 계정 연결 사용자를 위한 정책에서 태그 조건을 지정하는 방법을 보여줍니다. 조건 키에 대한 자세한 내용은 IAM의 정책 조건 키 섹션을 참조하세요.

예 1: 요청의 태그를 기반으로 한 작업 허용

다음 정책은 사용자에게 계정 연결을 승인할 권한을 부여합니다.

이와 관련하여 정책은 요청이 ProjectA 값이 포함된 Project 태그를 지정하는 경우 AcceptConnectionTagResource 작업을 허용합니다. aws:RequestTag 조건 키는 IAM 요청에서 전달할 수 있는 태그를 제어하는 데 사용됩니다. aws:TagKeys 조건은 태그 키의 대/소문자를 구분합니다.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "codecatalyst:AcceptConnection",
        "codecatalyst:TagResource"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:RequestTag/Project": "ProjectA"
        },
        "ForAllValues:StringEquals": {
          "aws:TagKeys": ["Project"]
        }
      }
    }
  ]
}

예 2: 리소스 태그에 기반한 작업 허용

다음 정책은 사용자에게 계정 연결 리소스에 대한 작업을 수행하고 해당 리소스에 대한 정보를 얻을 수 있는 권한을 부여합니다.

이를 위해 연결에 값이 지정된 Project 태그가 있는 경우 특정 작업이 허용됩니다ProjectA. aws:ResourceTag 조건 키는 IAM 요청에서 전달할 수 있는 태그를 제어하는 데 사용됩니다.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "codecatalyst:GetConnection",
        "codecatalyst:DeleteConnection",
        "codecatalyst:AssociateIamRoleToConnection",
        "codecatalyst:DisassociateIamRoleFromConnection",
        "codecatalyst:ListIamRolesForConnection",
        "codecatalyst:PutBillingAuthorization"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:ResourceTag/Project": "ProjectA"
        }
      }
    }
  ]
}