Como usar políticas baseadas em tags com o AWS Global Accelerator - AWS Global Accelerator

Como usar políticas baseadas em tags com o AWS Global Accelerator

Ao criar políticas do IAM, você pode definir permissões granulares concedendo acesso a recursos específicos. No entanto, à medida que o número de recursos que você gerencia aumenta, essa tarefa se torna mais difícil. Aplicar tags a recursos e depois usá-las em condições de declaração de política pode facilitar essa tarefa. Você pode conceder acesso em massa a qualquer recurso que tenha determinada tag. Você pode aplicar essa tag repetidamente a recursos relevantes ao criar o recurso ou ao atualizá-lo posteriormente.

O uso de tags em condições é uma forma de controlar o acesso a recursos e solicitações. As tags podem ser anexadas a um recurso ou passadas na solicitação para serviços compatíveis com tags. No Global Accelerator, somente aceleradores podem incluir tags. Para obter mais informações sobre a aplicação de tags no Global Accelerator, consulte Marcar no AWS Global Accelerator.

Ao criar uma política do IAM, você poderá usar chaves de condição de tag para controlar:

  • Quais usuários podem executar ações em um acelerador, com base nas tags que ele já tem.

  • Quais tags podem ser transmitidas na solicitação de uma ação.

  • Se chaves de tags específicas podem ser usadas em uma solicitação.

Por exemplo, a política de usuário gerenciada pela AWS GlobalAcceleratorFullAccess oferece aos usuários permissão ilimitada para executar qualquer ação do Global Accelerator em qualquer recurso. A seguinte política limita esse poder e nega a usuários não autorizados permissão para realizar qualquer ação do Global Accelerator em qualquer acelerador de produção. O administrador de um cliente deve anexar essa política do IAM a usuários não autorizados do IAM, além da política de usuário gerenciada.

{ 
   "Version":"2012-10-17",
   "Statement":[ 
      { 
         "Effect":"Deny",
         "Action":"*",
         "Resource":"*",
         "Condition":{ 
            "ForAnyValue:StringEquals":{ 
               "aws:RequestTag/stage":"prod"
            }
         }
      },
      { 
         "Effect":"Deny",
         "Action":"*",
         "Resource":"*",
         "Condition":{ 
            "ForAnyValue:StringEquals":{ 
               "aws:ResourceTag/stage":"prod"
            }
         }
      }
   ]
}

Para obter a sintaxe e a semântica completas das chaves de condição de tag, consulte Controlar o acesso usando tags do IAM no Guia do usuário do IAM.