Usar tags para controlar o acesso aos recursos do Elastic Beanstalk

Este tópico explica como o controle de acesso baseado em tags pode ajudar a criar e gerenciar políticas do IAM.

Podemos usar condições em declarações de política de usuário do IAM para configurar permissões de acesso do Elastic Beanstalk aos recursos. Para saber mais sobre condições de declarações de política, consulte Recursos e condições para ações do Elastic Beanstalk. O uso de tags em condições é uma forma de controlar o acesso a recursos e solicitações. Para obter informações sobre como marcar recursos do Elastic Beanstalk, consulte Marcar recursos da aplicação do Elastic Beanstalk.

Ao criar políticas do IAM, você pode definir permissões granulares concedendo acesso a recursos específicos. À medida que o número de recursos que você gerencia aumenta, essa tarefa se torna mais difícil. Atribuir etiquetas a recursos e usá-las em condições de declaração de política pode facilitar essa tarefa. Você concede acesso em massa a qualquer recurso utilizando determinada etiqueta. Depois, você a aplica repetidamente a recursos relevantes durante a criação ou posteriormente.

As etiquetas podem ser anexadas ao recurso ou passadas na solicitação para serviços que comportem etiquetas. No Elastic Beanstalk, os recursos podem ter tags, e algumas ações podem incluir tags. Ao criar uma política do IAM, você pode usar chaves de condição de etiqueta para controlar as seguintes condições:

Quais usuários podem executar ações em um ambiente, com base nas tags que ele já tem.
Quais tags podem ser transmitidas na solicitação de uma ação.
Se chaves de tags específicas podem ser usadas em uma solicitação.

Para obter a sintaxe e a semântica completas das chaves de condição de tag, consulte Controlar o acesso usando tags no Guia do usuário do IAM.

Exemplos de condições de etiquetas em políticas

Os exemplos a seguir demonstram como especificar condições de tag em políticas para usuários do Elastic Beanstalk.

exemplo 1: Limitar ações com base em tags na solicitação

A política de usuário gerenciada AdministratorAccess-AWSElasticBeanstalk do Elastic Beanstalk oferece aos usuários permissão ilimitada para executar qualquer ação do Elastic Beanstalk em qualquer recurso gerenciado pelo Elastic Beanstalk.

A política a seguir limita esse poder e nega a usuários não autorizados permissão para criar ambientes de produção do Elastic Beanstalk. Para fazer isso, ela negará a ação CreateEnvironment se a solicitação especificar uma tag chamada stage com um dos valores gamma ou prod. Além disso, para impedir que esses usuários não autorizados interfiram na fase de ambiente de produção, a política não permite que ações de modificação de etiquetas incluam esses mesmos valores de etiqueta ou removam completamente a etiqueta stage. O administrador de um cliente deve anexar essa política do IAM a usuários não autorizados do IAM, além da política de usuário gerenciada.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": [
        "elasticbeanstalk:CreateEnvironment",
        "elasticbeanstalk:AddTags"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:RequestTag/stage": ["gamma", "prod"]
        }
      }
    },
    {
      "Effect": "Deny",
      "Action": [
        "elasticbeanstalk:RemoveTags"
      ],
      "Resource": "*",
      "Condition": {
        "ForAnyValue:StringEquals": {
          "aws:TagKeys": ["stage"]
        }
      }
    }
  ]
}

exemplo 2: Limitar ações com base em tags de recursos

A política a seguir limita esse poder e nega a usuários não autorizados permissão para realizar ações em ambientes de produção do Elastic Beanstalk. Para fazer isso, ela negará ações específicas se o ambiente tiver uma tag chamada stage com um dos valores gamma ou prod. O administrador de um cliente deve anexar essa política do IAM a usuários não autorizados do IAM, além da política de usuário gerenciada.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": [
        "elasticbeanstalk:AddTags",
        "elasticbeanstalk:RemoveTags",
        "elasticbeanstalk:DescribeEnvironments",
        "elasticbeanstalk:TerminateEnvironment",
        "elasticbeanstalk:UpdateEnvironment",
        "elasticbeanstalk:ListTagsForResource"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:ResourceTag/stage": ["gamma", "prod"]
        }
      }
    }
  ]
}

exemplo 3: Permitir ações com base em tags na solicitação

A política a seguir concede aos usuários permissão para criar aplicações de desenvolvimento do Elastic Beanstalk.

Para fazer isso, ela permitirá as ações AddTags e CreateApplication se a solicitação especificar uma tag chamada stage com o valor development. A condição aws:TagKeys garante que o usuário não possa adicionar outras chaves de tag. Especificamente, ele garante a diferenciação entre maiúsculas e minúsculas da chave da tag stage. Observe que essa política é útil para os usuários do IAM que não tenham a política de usuário gerenciada AdministratorAccess-AWSElasticBeanstalk do Elastic Beanstalk anexada. A política gerenciada oferece aos usuários permissão ilimitada para executar qualquer ação do Elastic Beanstalk em qualquer recurso gerenciado pelo Elastic Beanstalk.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "elasticbeanstalk:CreateApplication",
        "elasticbeanstalk:AddTags"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:RequestTag/stage": "development"
        },
        "ForAllValues:StringEquals": {
          "aws:TagKeys": ["stage"]
        }
      }
    }
  ]
}

exemplo 4: Permitir ações com base em tags de recursos

A política a seguir concede aos usuários permissão para executar ações e obter informações sobre as aplicações de desenvolvimento do Elastic Beanstalk.

Para fazer isso, ela permitirá ações específicas se o aplicativo tiver uma tag chamada stage com o valor development. A condição aws:TagKeys garante que o usuário não possa adicionar outras chaves de tag. Especificamente, ele garante a diferenciação entre maiúsculas e minúsculas da chave da tag stage. Observe que essa política é útil para os usuários do IAM que não tenham a política de usuário gerenciada AdministratorAccess-AWSElasticBeanstalk do Elastic Beanstalk anexada. A política gerenciada oferece aos usuários permissão ilimitada para executar qualquer ação do Elastic Beanstalk em qualquer recurso gerenciado pelo Elastic Beanstalk.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "elasticbeanstalk:UpdateApplication",
        "elasticbeanstalk:DeleteApplication",
        "elasticbeanstalk:DescribeApplications"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:ResourceTag/stage": "development"
        },
        "ForAllValues:StringEquals": {
          "aws:TagKeys": ["stage"]
        }
      }
    }
  ]
}

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Recursos e condições

Exemplo de políticas gerenciadas