기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
태그에 대한 액세스 제어
를 사용하여 태그를 추가, 보기 및 삭제하려면 보안 API주체가 IAM 정책에서 권한에 태그를 지정해야 합니다.
태그에 AWS 전역 조건 키를 사용하여 이러한 권한을 제한할 수도 있습니다. AWS Payment Cryptography에서 이러한 조건은 TagResource 및 와 같은 태그 지정 작업에 대한 액세스를 제어할 수 있습니다UntagResource.
예제 정책 및 자세한 내용은 IAM 사용 설명서의 태그 키를 기반으로 액세스 제어를 참조하세요.
태그를 만들고 관리할 수 있는 권한은 다음과 같습니다.
- payment-cryptography:TagResource
-
보안 주체가 태그를 추가하거나 편집할 수 있습니다. 키를 생성하는 동안 태그를 추가하려면 보안 주체는 특정 키로 제한되지 않는 IAM 정책에 대한 권한이 있어야 합니다.
- 결제 암호화:ListTagsForResource
-
보안 주체가 키의 태그를 볼 수 있도록 허용합니다.
- 결제 암호화:UntagResource
-
보안 주체가 키에서 태그를 삭제할 수 있도록 허용합니다.
정책에서 태그 지정 권한
키 정책 또는 IAM 정책에서 태그 지정 권한을 제공할 수 있습니다. 예를 들어 다음 예제 키 정책은 키에 대한 태그 지정 권한을 사용자에게 제공합니다. 예를 들어 관리자 또는 개발자 역할로 가정할 수 있는 모든 사용자에게 태그를 볼 수 있는 권한을 제공합니다.
{ "Version": "2012-10-17", "Id": "example-key-policy", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::111122223333:root"}, "Action": "payment-cryptography:*", "Resource": "*" }, { "Sid": "Allow all tagging permissions", "Effect": "Allow", "Principal": {"AWS": [ "arn:aws:iam::111122223333:user/LeadAdmin", "arn:aws:iam::111122223333:user/SupportLead" ]}, "Action": [ "payment-cryptography:TagResource", "payment-cryptography:ListTagsForResource", "payment-cryptography:UntagResource" ], "Resource": "*" }, { "Sid": "Allow roles to view tags", "Effect": "Allow", "Principal": {"AWS": [ "arn:aws:iam::111122223333:role/Administrator", "arn:aws:iam::111122223333:role/Developer" ]}, "Action": "payment-cryptography:ListResourceTags", "Resource": "*" } ] }
보안 주체에게 여러 키에 대한 태그 지정 권한을 부여하려면 IAM 정책을 사용할 수 있습니다. 이 정책을 적용하려면 각 키의 키 정책을 통해 계정이 IAM 정책을 사용하여 키에 대한 액세스를 제어할 수 있어야 합니다.
예를 들어, 다음 IAM 정책은 보안 주체가 키를 생성할 수 있도록 허용합니다. 또한 지정된 계정의 모든 키에 태그를 만들고 관리할 수 있습니다. 이 조합을 사용하면 보안 주체가 CreateKey 작업의 태그 파라미터를 사용하여 키를 생성하는 동안 키에 태그를 추가할 수 있습니다.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "IAMPolicyCreateKeys", "Effect": "Allow", "Action": "payment-cryptography:CreateKey", "Resource": "*" }, { "Sid": "IAMPolicyTags", "Effect": "Allow", "Action": [ "payment-cryptography:TagResource", "payment-cryptography:UntagResource", "payment-cryptography:ListTagsForResource" ], "Resource": "arn:aws:payment-cryptography:*:111122223333:key/*" } ] }
태그 지정 권한 제한
정책 조건을 사용하여 태그 지정 권한을 제한할 수 있습니다. 다음 정책 조건을 payment-cryptography:TagResource 및 payment-cryptography:UntagResource 권한에 적용할 수 있습니다. 예를 들어, aws:RequestTag/tag-key 조건을 사용하여 보안 주체가 특정 태그만 추가하거나 보안 주체가 특정 태그 키를 사용하여 태그를 추가하지 못하도록 할 수 있습니다.
-
aws:ResourceTag/tag-key(IAM 정책만 해당)
태그를 사용하여 키에 대한 액세스를 제어할 때 가장 좋은 방법은 aws:RequestTag/tag-key 또는 aws:TagKeys 조건 키를 사용하여 허용되는 태그 (또는 태그 키)를 결정하는 것입니다.
예를 들어 다음 IAM 정책은 이전 정책과 유사합니다. 그러나 이 정책은 보안 주체가 Project 태그 키가 있는 태그에 대해서만 태그(TagResource)를 생성하고 태그 UntagResource를 삭제할 수 있도록 허용합니다.
TagResource 및 UntagResource 요청에 여러 태그가 포함될 수 있으므로 를 지정ForAllValues하거나 aws:TagKeys 조건을 사용하여 연산자를 ForAnyValue 설정해야 합니다. ForAnyValue 연산자를 사용하려면 요청의 태그 키 중 적어도 하나가 정책의 태그 키 중 하나와 일치해야 합니다. ForAllValues 연산자를 사용하려면 요청의 모든 태그 키가 정책의 태그 키 중 하나와 일치해야 합니다. 또한 연ForAllValues산자는 요청에 태그가 없는 true 경우 를 반환 TagResource 하지만 UntagResource 태그가 지정되지 않으면 실패합니다. 세트 연산자에 대한 자세한 내용은 IAM 사용 설명서의 여러 키 및 값 사용을 참조하세요.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "IAMPolicyCreateKey", "Effect": "Allow", "Action": "payment-cryptography:CreateKey", "Resource": "*" }, { "Sid": "IAMPolicyViewAllTags", "Effect": "Allow", "Action": "payment-cryptography:ListResourceTags", "Resource": "arn:aws:payment-cryptography:*:111122223333:key/*" }, { "Sid": "IAMPolicyManageTags", "Effect": "Allow", "Action": [ "payment-cryptography:TagResource", "payment-cryptography:UntagResource" ], "Resource": "arn:aws:payment-cryptography:*:111122223333:key/*", "Condition": { "ForAllValues:StringEquals": {"aws:TagKeys": "Project"} } } ] }
