As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá. # Utilização de tags com políticas do IAM É possível aplicar permissões em nível de recurso baseadas em tags às políticas do IAM que você usa para as ações de API do AWS IoT . Isso oferece a você mais controle sobre quais recursos um usuário pode criar, modificar ou usar. Você pode usar o elemento `Condition` (também chamado bloco `Condition`) juntamente com os seguintes valores e chaves de contexto de condição em uma política do IAM para controlar o acesso do usuário (permissões) baseado em tags de um recurso: + Use `aws:ResourceTag/tag-key: tag-value`, para permitir ou negar ações do usuário em recursos com tags específicas. + Use `aws:RequestTag/tag-key: tag-value` para exigir que uma tag específica seja (ou não seja) usada ao fazer uma solicitação de API para criar ou modificar um recurso que permite tags. + Use `aws:TagKeys: [tag-key, ...]` para exigir que um conjunto específico de chaves de tag seja (ou não seja) usado ao fazer uma solicitação de API para criar ou modificar um recurso que permite tags. **nota** As chaves e valores de contexto da condição em uma política do IAM se aplicam somente às AWS IoT ações em que um identificador de um recurso capaz de ser marcado é um parâmetro obrigatório. Por exemplo, o uso de não [DescribeEndpoint](https://docs.aws.amazon.com//iot/latest/apireference/API_DescribeEndpoint)é permitido ou negado com base nas chaves e valores do contexto de condição porque nenhum recurso marcável (grupos de coisas, tipos de coisas, regras de tópicos, trabalhos ou perfil de segurança) é referenciado nessa solicitação. Para obter mais informações sobre AWS IoT os recursos que são marcáveis e as chaves de condição que eles suportam, leia [Ações, recursos e chaves de condição](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiot.html) para. AWS IoT Para obter mais informações sobre o uso de tags, consulte [Controlar o acesso usando tags](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html) no *Guia do usuário do AWS Identity and Access Management *. A seção [Referência de política JSON do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html) desse guia detalhou a sintaxe, as descrições e os exemplos dos elementos, variáveis e lógica de avaliação das políticas JSON no IAM. O exemplo de política a seguir aplica duas restrições baseadas em tags para as ações `ThingGroup`. Um usuário do IAM restrito por essa política: + Não é possível criar um grupo de objetos com a tag “env=prod” (no exemplo, veja a linha `"aws:RequestTag/env" : "prod"`). + Não é possível modificar ou acessar um grupo de objetos que possui uma tag "env=prod" existente (no exemplo, consulte a linha `"aws:ResourceTag/env" : "prod"`). **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "iot:CreateThingGroup", "Resource": "*", "Condition": { "StringEquals": { "aws:RequestTag/env": "prod" } } }, { "Effect": "Deny", "Action": [ "iot:CreateThingGroup", "iot:DeleteThingGroup", "iot:DescribeThingGroup", "iot:UpdateThingGroup" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceTag/env": "prod" } } }, { "Effect": "Allow", "Action": [ "iot:CreateThingGroup", "iot:DeleteThingGroup", "iot:DescribeThingGroup", "iot:UpdateThingGroup" ], "Resource": "*" } ] } ``` Você também pode especificar vários valores de tag para uma determinada chave de tag, colocando-as em uma lista como esta: ``` "StringEquals" : { "aws:ResourceTag/env" : ["dev", "test"] } ``` **nota** Se você permitir ou negar aos usuários o acesso a recursos com base em tags, considere negar explicitamente aos usuários a capacidade de adicionar essas tags ou removê-las dos mesmos recursos. Caso contrário, é possível que um usuário contorne suas restrições e obtenha acesso a um recurso modificando as tags.