Utilização de tags com políticas do IAM - AWS RoboMaker

AWS RoboMaker não está mais disponível para novos clientes. Clientes existentes da AWS RoboMaker pode continuar usando o serviço normalmente. AWS Batch agora é o serviço preferido para executar simulações em contêineres. Saiba mais.

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Utilização de tags com políticas do IAM

É possível aplicar permissões em nível de recurso baseadas em tags às políticas do IAM que você usa para as ações de API da AWS RoboMaker. Isso oferece a você mais controle sobre quais recursos um usuário pode criar, modificar ou usar. Você pode usar o elemento Condition (também chamado bloco Condition) juntamente com os seguintes valores e chaves de contexto de condição em uma política do IAM para controlar o acesso do usuário (permissões) baseado em tags de um recurso:

  • Use aws:ResourceTag/tag-key: tag-value, para permitir ou negar ações do usuário em recursos com tags específicas.

  • Use aws:RequestTag/tag-key: tag-value para exigir que uma tag específica seja (ou não seja) usada ao fazer uma solicitação de API para criar ou modificar um recurso que permite tags.

  • Use aws:TagKeys: [tag-key, ...] para exigir que um conjunto específico de chaves de tag seja (ou não seja) usado ao fazer uma solicitação de API para criar ou modificar um recurso que permite tags.

nota

Os valores e as chaves de contexto de condição em uma política do IAM se aplicam somente às ações do AWS RoboMaker em que um identificador de um recurso que pode ser marcado com tags é um parâmetro obrigatório. Por exemplo, o uso de ListFleets não será permitido ou negado com base em chaves e valores de contexto de condição, pois não há referência a nenhum recurso que pode ser marcado (frota, robô, aplicativo de robô, aplicativo de simulação, tarefa de simulação, tarefa de implantação) nesta solicitação.

Para obter mais informações, consulte Controlar acesso aos recursos da AWS no Guia do usuário do Gerenciamento de Identidade e Acesso da AWS. A seção Referência de política JSON do IAM desse guia detalhou a sintaxe, as descrições e os exemplos dos elementos, variáveis e lógica de avaliação das políticas JSON no IAM.

A política de exemplo a seguir aplica duas restrições com base em tag. Um usuário do IAM restrito por essa política:

  • Não é possível criar um robô com a tag "env=prod" (no exemplo, veja a linha "aws:RequestTag/env" : "prod").

  • Não é possível excluir um robô que tenha uma tag existente "env=prod" (no exemplo, veja a linha "aws:ResourceTag/env" : "prod").

{
    "Version" : "2012-10-17",
    "Statement" : [
        {
          "Effect" : "Deny",
          "Action" : "robomaker:CreateRobot",
          "Resource" : "*",
          "Condition" : {
            "StringEquals" : {
              "aws:RequestTag/env" : "prod"
            }
          }
        },
        {
          "Effect" : "Deny",
          "Action" : "robomaker:DeleteRobot",
          "Resource" : "*",
          "Condition" : {
            "StringEquals" : {
              "aws:ResourceTag/env" : "prod"
            }
          }
        },
        {
          "Effect": "Allow",
          "Action": "robomaker:*",
          "Resource": "*"
        }
    ]
}

Você também pode especificar vários valores de tag para uma determinada chave de tag, colocando-as em uma lista como esta: 


            "StringEquals" : {
              "aws:ResourceTag/env" : ["dev", "test"]
}
nota

Se você permitir ou negar aos usuários o acesso a recursos com base em tags, considere negar explicitamente aos usuários a capacidade de adicionar essas tags ou removê-las dos mesmos recursos. Caso contrário, é possível que um usuário contorne suas restrições e obtenha acesso a um recurso modificando as tags.