基于标签的访问控制策略
您可以在基于身份的策略中使用条件,根据标签控制对应用程序和作业运行的访问。
以下示例演示了将条件运算符与 EMR Serverless 条件键结合使用的不同场景和方法。这些 IAM policy 声明仅用于演示目的,并且不应用于生产环境。可通过多种方式来组合策略声明,以根据要求授予和拒绝权限。有关规划和测试 IAM policy 的更多信息,请参阅 IAM 用户指南。
重要
一个重要注意事项是,应该明确拒绝添加标签操作的权限。这可以防止用户标记资源,从而为其授予您不打算授予的权限。如果资源的标记操作未被拒绝,用户可以修改标记并规避基于标签的策略意图。有关拒绝添加标签操作的策略示例,请参阅拒绝添加和删除标签的访问权限。
以下示例演示了基于身份的权限策略,这些策略用于控制 EMR Serverless 应用程序允许的操作。
仅允许带特定标签值资源上的操作
在以下策略示例中,StringEquals 条件运算符尝试将 dev 与标签部分的值匹配。如果标签部分尚未添加到应用程序或不包含值 dev,则策略不会应用,并且此策略将不允许这些操作。如果没有其他策略语句允许这些操作,则用户只能使用标签中包含此值的应用程序。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "emr-serverless:GetApplication" ], "Resource": "*", "Condition": { "StringEquals": { "emr-serverless:ResourceTag/department": "dev" } } } ] }
您也可以使用条件运算符指定多个标签值。例如,如果要对 department 标签包含值 dev 或 test 的应用程序执行操作,可以将前面示例中的条件块替换为以下内容。
"Condition": { "StringEquals": { "emr-serverless:ResourceTag/department": ["dev", "test"] } }
创建资源时需要标签
在下面的示例中,创建应用程序时需要应用标签。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "emr-serverless:CreateApplication" ], "Resource": "*", "Condition": { "StringEquals": { "emr-serverless:RequestTag/department": "dev" } } } ] }
以下策略语句仅允许用户在应用程序具有 department 标签(可包含任何值)的情况下创建虚拟集群。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "emr-serverless:CreateApplication" ], "Resource": "*", "Condition": { "Null": { "emr-serverless:RequestTag/department": "false" } } } ] }
拒绝添加和删除标签的访问权限
此策略可防止用户在 EMR Serverless 应用程序上添加或删除 department 标签值不是 dev 的标签。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "emr-serverless:TagResource", "emr-serverless:UntagResource" ], "Resource": "*", "Condition": { "StringNotEquals": { "emr-serverless:ResourceTag/department": "dev" } } } ] }
