Controlar o acesso aos recursos do Amazon ECS usando tags de recursos
Ao criar uma política do IAM que conceda permissão aos usuários para usar recursos do Amazon ECS, é possível incluir informações de tag no elemento Condition
da política para controlar o acesso com base em tags. Isso é conhecido como controle de acesso baseado em atributo (ABAC). O ABAC oferece um controle melhor sobre quais recursos um usuário pode modificar, usar ou excluir. Para obter mais informações, consulte O que é ABAC para a AWS?
Por exemplo, é possível criar uma política que permite que os usuários excluam um cluster, mas nega a ação se o cluster tiver a tag environment=production
. Para fazer isso, use a chave de condição aws:ResourceTag
para permitir ou negar acesso ao recurso com base nas tags anexadas ao recurso.
"StringEquals": { "aws:ResourceTag/environment": "production" }
Para saber se uma ação de API do Amazon ECS oferece suporte ao controle de acesso usando a chave de condição aws:ResourceTag
, consulte Ações, recursos e chaves de condição para Amazon ECS . Como as ações de Describe
não oferecem suporte a permissões em nível de recurso, especifique-as em uma declaração separada sem condições.
Para obter exemplos de políticas do IAM, consulte Exemplos de políticas do Amazon ECS .
Se você permitir ou negar aos usuários o acesso a recursos com base em tags, considere negar explicitamente aos usuários a capacidade de adicionar essas tags ou removê-las dos mesmos recursos. Caso contrário, é possível que um usuário contorne suas restrições e obtenha acesso a um recurso modificando as tags.