Adicionar tags a visualizações - Explorador de recursos da AWS
Adicionar tags às visualizaçõesControlar permissões com tagsReferenciar tags em uma política de ABAC

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Adicionar tags a visualizações

Você pode adicionar tags às visualizações para categorizá-las. As tags são metadados fornecidos pelo cliente na forma de uma string de nome de chave e uma string opcional de valor associada. Para obter mais informações sobre como marcar os recursos da AWS, consulte Tagging AWS Resources no Referência geral da Amazon Web Services.

Adicionar tags às visualizações

Você pode criar uma visualização do Explorador de Recursos usando o AWS Management Console ou executando os comandos da AWS CLI ou as operações da API equivalentes em um SDK da AWS.

AWS Management Console
Para adicionar tags a uma visualização

  1. Abra a página Visualizações do Explorador de Recursos e escolha o nome da visualização que você deseja marcar para exibir sua página Detalhes.

  2. Em Tags, selecione Manage tags (Gerenciar tags).

  3. Para adicionar uma tag, escolha Adicionar tag e insira um nome de chave e um valor opcional de tag.

    nota

    Você também pode excluir uma tag escolhendo o X ao lado dela.

    É possível anexar até 50 tags definidas pelo usuário a um recurso. As tags criadas e gerenciadas automaticamente pela AWS não contam para essa cota.

  4. Quando terminar de fazer as alterações, escolha Salvar alterações.

AWS CLI
Para adicionar tags a uma visualização

Execute o comando a seguir para adicionar tags a uma visualização. O exemplo a seguir adiciona tags com o nome de chave environment e o valor production à visualização especificada.

$ aws resource-explorer-2 tag-resource \
    --resource-id arn:aws:resource-explorer-2:us-east-1:123456789012:view/MyViewName/1a2b3c4d-5d6e-7f8a-9b0c-abcd11111111 \
    --tags environment=production

Se tiver sucesso, o comando anterior não produzirá nenhuma saída.

nota

Para remover uma tag existente de uma visualização, use o comando untag-resource.

Controlar permissões com tags

Um dos principais usos das tags é possibilitar uma estratégia de controle de acesso por atributo (ABAC). O ABAC pode ajudar a simplificar o gerenciamento de permissões deixando que você marque os recursos. Depois, você concede aos usuários permissão para os recursos marcados de uma determinada maneira.

Por exemplo, considere este cenário: Em uma visualização denominada ViewA, você anexa a tag environment=prod (nome da chave = valor). Outra ViewB pode estar marcada como environment=beta. Você marca os perfis e os usuários com as mesmas tags e valores, de acordo com o ambiente que cada perfil ou usuário deve poder acessar.

Depois, você pode atribuir uma política de permissão do AWS Identity and Access Management (IAM) aos perfis, grupos e usuários do IAM. A política só concederá permissão para acessar e pesquisar usando uma visualização se o perfil ou o usuário que fizer a solicitação de pesquisa tiver uma tag environment com o mesmo valor da tag environment anexada à visualização.

A vantagem dessa abordagem é que ela é dinâmica e não exige que você mantenha uma lista de quem tem acesso a quais recursos. Em vez disso, você garante que todos os recursos (suas visualizações) e entidades principais (perfis e usuários do IAM) sejam marcados corretamente. Assim, as permissões são atualizadas automaticamente sem que você precise alterar nenhuma política.

Referenciar tags em uma política de ABAC

Depois que as visualizações são marcadas, você pode escolher usar essas tags para controlar dinamicamente o acesso às visualizações. O exemplo de política a seguir pressupõe que tanto as entidades principais do IAM quanto as visualizações estejam marcadas com a chave de tag environment e algum valor. Quando isso é concluído, você pode anexar o exemplo de política a seguir às entidades principais. Os perfis e usuários podem então Search usando qualquer visualização marcada com um valor de tag environment que corresponda exatamente à tag environment anexada à entidade principal.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "resource-explorer-2:GetView",
                "resource-explorer-2:Search"
            ],
            "Resource": "arn:aws:resource-explorer-2:us-east-1:123456789012:view/*",
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "aws:ResourceTag/environment": "${aws:PrincipalTag/environment}"
                }
            }
        }
    ]
}

Se a entidade principal e a visualização tiverem a tag environment, mas os valores não corresponderem, ou se a tag environment estiver ausente, o Explorador de Recursos negará a solicitação de pesquisa.

Para obter mais informações sobre como usar o ABAC para conceder acesso seguro aos recursos, consulte O que é ABAC para a AWS?