Usar tags nas políticas do IAM - Amazon Personalize

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Usar tags nas políticas do IAM

Depois de começar a implementar tags, você pode aplicar permissões de nível de recurso baseadas em tags para políticas do AWS Identity and Access Management (IAM) e operações de API. Isto inclui operações que são compatíveis com acrescentar tags a recursos quando estes são criados. Usando os tags dessa forma, é possível implementar um controle granular de quais grupos e usuários em sua conta da AWS têm permissão para criar e marcar recursos e quais grupos e usuários têm permissão para criar, atualizar e remover tags de maneira mais geral.

Por exemplo, é possível criar uma política que permita que um usuário tenha acesso completo a todos os recursos do Amazon Personalize, no qual o nome é um valor na tag Owner do recurso.

{
   "Version": "2012-10-17",
   "Statement": [
      {
         "Sid": "ModifyResourceIfOwner",
         "Effect": "Allow",
         "Action": "personalize:*",
         "Resource": "*",
         "Condition": {
            "StringEqualsIgnoreCase": {
               "aws:ResourceTag/Owner": "${aws:username}"
            }
         }
      }
   ]
}

O exemplo a seguir mostra como criar uma política para permitir a criação e a exclusão de um conjunto de dados. Essas operações serão permitidas somente se o nome de usuário for johndoe.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "personalize:CreateDataset",
                "personalize:DeleteDataset"
            ],
            "Resource": "arn:aws:personalize:*:*:dataset/*",
            "Condition": {
                "StringEquals": {"aws:username" : "johndoe"}
            }
        },
        {
            "Effect": "Allow",
            "Action": "personalize:DescribeDataset",
            "Resource": "*"
        }
    ]
}

Se você definir permissões em nível de recurso e baseadas em tag, elas entrarão em vigor imediatamente. Isso significa que seus recursos ficam mais seguros assim que são criados, e que você pode começar a aplicar rapidamente o uso de tags em novos recursos. Também é possível usar permissões em nível de recurso para controlar quais valores e chaves de tag podem ser associados a recursos novos e existentes. Para mais informações, consulte Controlar o acesso usando tags no Guia do usuário do IAM da AWS.