Controlar o acesso às tags - AWS Criptografia de pagamento
Permissões de etiquetas em políticasLimitar permissões de etiquetas

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Controlar o acesso às tags

Para adicionar, visualizar e excluir tags usando oAPI, os diretores precisam de permissões de marcação nas IAM políticas.

Você também pode limitar essas permissões usando chaves de condição AWS globais para tags. Na criptografia AWS de pagamento, essas condições podem controlar o acesso às operações de marcação, como e. TagResourceUntagResource

Para ver exemplos de políticas e mais informações, consulte Controlando o acesso com base em chaves de tag no Guia IAM do usuário.

As permissões para criar e gerenciar aliases funcionam como a seguir.

criptografia de pagamento: TagResource

Permite que as entidades principais adicionem ou editem etiquetas. Para adicionar tags ao criar uma chave, o diretor deve ter permissão em uma IAM política que não esteja restrita a chaves específicas.

criptografia de pagamento: ListTagsForResource

Permite que as entidades principais visualizem tags em chaves.

criptografia de pagamento: UntagResource

Permite que as entidades principais excluam tags de chaves.

Permissões de etiquetas em políticas

Você pode fornecer permissões de marcação em uma política ou IAM política chave. O seguinte exemplo de política de chaves concede permissão de marcação a usuários selecionados na chave. Ele concede a todos os usuários que podem assumir os exemplos de funções Administrador ou Desenvolvedor permissão para visualizar etiquetas.

{
  "Version": "2012-10-17",
  "Id": "example-key-policy",
  "Statement": [
    { 
      "Sid": "",
      "Effect": "Allow",
      "Principal": {"AWS": "arn:aws:iam::111122223333:root"},
      "Action": "payment-cryptography:*",
      "Resource": "*"
    },
    {
      "Sid": "Allow all tagging permissions",
      "Effect": "Allow",
      "Principal": {"AWS": [
        "arn:aws:iam::111122223333:user/LeadAdmin",
        "arn:aws:iam::111122223333:user/SupportLead"
      ]},
      "Action": [
          "payment-cryptography:TagResource",
          "payment-cryptography:ListTagsForResource",
          "payment-cryptography:UntagResource"
      ],
      "Resource": "*"
    },
    {
      "Sid": "Allow roles to view tags",
      "Effect": "Allow",
      "Principal": {"AWS": [
        "arn:aws:iam::111122223333:role/Administrator",
        "arn:aws:iam::111122223333:role/Developer"
      ]},
      "Action": "payment-cryptography:ListResourceTags",
      "Resource": "*"
    }
  ]
}

Para dar permissão aos diretores de marcação em várias chaves, você pode usar uma IAM política. Para que essa política seja efetiva, a política de chaves de cada chave deve permitir que a conta use IAM políticas para controlar o acesso à chave.

Por exemplo, a IAM política a seguir permite que os diretores criem chaves. Ela também permite que eles criem e gerenciem tags em todas as chaves na conta especificada. Essa combinação permite que os diretores usem o parâmetro tags da CreateKeyoperação para adicionar tags a uma chave enquanto a criam. 

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "IAMPolicyCreateKeys",
      "Effect": "Allow",
      "Action": "payment-cryptography:CreateKey",
      "Resource": "*"
    },
    {
      "Sid": "IAMPolicyTags",
      "Effect": "Allow",
      "Action": [
        "payment-cryptography:TagResource",
        "payment-cryptography:UntagResource",
        "payment-cryptography:ListTagsForResource"
      ],
      "Resource": "arn:aws:payment-cryptography:*:111122223333:key/*"
    }    
  ]
}

Limitar permissões de etiquetas

É possível limitar permissões de marcação usando condições de política. As seguintes condições de política podem ser aplicadas às permissões payment-cryptography:TagResource e payment-cryptography:UntagResource. Por exemplo, você pode usar a condição aws:RequestTag/tag-key para permitir que uma entidade principal adicione apenas etiquetas específicas, ou pode impedir que uma entidade principal adicione etiquetas com chaves de etiqueta específicas.

Como prática recomendada ao usar tags para controlar o acesso a chaves, use as chaves de condição aws:RequestTag/tag-key ou aws:TagKeys para determinar quais tags (ou chaves de tag) são permitidas.

Por exemplo, a IAM política a seguir é semelhante à anterior. No entanto, essa política permite que as entidades principais criem etiquetas (TagResource) e excluam etiquetas UntagResource somente para etiquetas com um chave de etiqueta Project.

Como TagResource as UntagResource solicitações podem incluir várias tags, você deve especificar um operador ForAllValues ou ForAnyValue definir com a TagKeys condição aws:. O operador ForAnyValue exige que pelo menos uma das chaves de etiqueta na solicitação corresponda a uma das chaves de etiqueta na política. O operador ForAllValues requer que todas as chaves de etiqueta na solicitação correspondam a uma das chaves de etiqueta na política. O ForAllValues operador também retorna true se não houver tags na solicitação, mas TagResource UntagResource falhará quando nenhuma tag for especificada. Para obter detalhes sobre os operadores do conjunto, consulte Usar várias chaves e valores no Guia IAM do usuário.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "IAMPolicyCreateKey",
      "Effect": "Allow",
      "Action": "payment-cryptography:CreateKey",
      "Resource": "*"
    },
    {
      "Sid": "IAMPolicyViewAllTags",
      "Effect": "Allow",
      "Action": "payment-cryptography:ListResourceTags",
      "Resource": "arn:aws:payment-cryptography:*:111122223333:key/*"
    },
    {
      "Sid": "IAMPolicyManageTags",
      "Effect": "Allow",
      "Action": [
        "payment-cryptography:TagResource",
        "payment-cryptography:UntagResource"
      ],
      "Resource": "arn:aws:payment-cryptography:*:111122223333:key/*",
      "Condition": {
          "ForAllValues:StringEquals": {"aws:TagKeys": "Project"}
      }
    }
  ]
}