本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用任務標籤控制 S3 批次作業的許可
為了協助您管理 S3 批次操作任務,您可以新增任務標籤。您可以使用任務標籤控制對批次操作任務的存取,並強制在建立任何任務時套用標籤。
您最多可以將 50 個任務標籤套用至每個批次操作任務。這可讓您設定非常細微的政策,限制可編輯任務的使用者集。任務標籤可以授與或限制使用者的以下能力:取消任務、啟動處於確認狀態的任務或變更任務的優先順序層級。此外,您可以強制將標籤套用至所有新任務,並為標籤指定允許的鍵值對。您可以使用相同的 IAM 政策語言來表達所有這些條件。如需詳細資訊,請參閱服務授權參考中適用於 Amazon S3 的動作、資源和條件金鑰。
下列範例顯示如何使用 S3 批次操作任務標籤授予使用者僅能建立和編輯在特定部門 (例如財務或合規部門) 內執行的任務的許可。您也可以根據與其相關的開發階段指派任務,例如 QA 或生產。
在此範例中,您可以在 AWS Identity and Access Management (IAM) 政策中使用 S3 Batch 操作任務標籤,授與使用者僅建立和編輯部門內執行的任務的權限。您可以根據任務相關的開發階段指派任務,例如 QA 或生產。
此範例使用下列部門,每個部門各自以不同的方式使用批次操作:
-
財務
-
合規
-
商業智慧
-
工程設計
透過指派標籤到使用者和資源來控制存取
在本例中,系統管理員使用屬性型存取控制 (ABAC)。ABAC 是 IAM 授權策略,透過將標籤附加到使用者和 AWS 資源來定義許可。
系統會為使用者和任務指派下列其中一個部門標籤:
索引鍵:數值
-
department : Finance -
department : Compliance -
department : BusinessIntelligence -
department : Engineering注意
任務標籤鍵與數值皆區分大小寫。
使用 ABAC 存取控制策略,您可以藉由將標籤 department=Finance 與其使用者關聯,以授予財務部門的使用者建立和管理其部門內 S3 批次操作任務的許可。
此外,您可以將受管政策連接至 IAM 使用者,以允許該公司內任何使用者建立或修改各自部門內的 S3 批次操作任務。
此範例中的政策包含三個政策陳述式:
-
政策中的第一個陳述式可讓使用者建立批次操作任務,前提是建立任務請求包含符合其各自部門的任務標籤。這是使用
"${aws:PrincipalTag/department}"語法表示,該語法在政策評估時會以使用者的部門標籤取代。當為("aws:RequestTag/department")請求中的部門標籤提供的數值符合使用者的部門時,即滿足條件。 -
政策中的第二個陳述式可讓使用者變更任務的優先順序或更新任務狀態,只要使用者正在更新的任務符合使用者的部門即可。
-
第三個陳述式可讓使用者隨時透過
PutJobTagging請求更新批次操作任務的標籤,只要 (1) 有保留其部門標籤,(2) 他們正在更新的任務在其部門內。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "s3:CreateJob", "Resource": "*", "Condition": { "StringEquals": { "aws:RequestTag/department": "${aws:PrincipalTag/department}" } } }, { "Effect": "Allow", "Action": [ "s3:UpdateJobPriority", "s3:UpdateJobStatus" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceTag/department": "${aws:PrincipalTag/department}" } } }, { "Effect": "Allow", "Action": "s3:PutJobTagging", "Resource": "*", "Condition": { "StringEquals": { "aws:RequestTag/department": "${aws:PrincipalTag/department}", "aws:ResourceTag/department": "${aws:PrincipalTag/department}" } } } ] }
依階段標記批次操作任務,並強制執行工作優先順序限制
所有 S3 批次操作任務都具有數字優先順序,Amazon S3 會用來決定執行任務的順序。在此範例中,您可以限制大多數使用者可以指派給任務的最大優先順序,較高的優先順序範圍會保留給有限的特殊權限使用者,如下所示:
QA 階段優先順序範圍 (低):1-100
生產階段優先順序範圍 (高):1-300
若要進行此動作,請引入一組新標籤來代表任務之階段:
索引鍵:數值
stage : QAstage : Production
建立與更新部門內的低優先順序任務
除了以部門為基礎的限制外,此政策還會引入兩項新的 S3 批次操作任務建立與更新限制:
它允許使用者建立或更新部門中的任務,並有一項新條件要求任務必須包含標籤
stage=QA。它允許使用者建立或更新任務的優先順序,新的優先順序最高為 100。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "s3:CreateJob", "Resource": "*", "Condition": { "StringEquals": { "aws:RequestTag/department": "${aws:PrincipalTag/department}", "aws:RequestTag/stage": "QA" }, "NumericLessThanEquals": { "s3:RequestJobPriority": 100 } } }, { "Effect": "Allow", "Action": [ "s3:UpdateJobStatus" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceTag/department": "${aws:PrincipalTag/department}" } } }, { "Effect": "Allow", "Action": "s3:UpdateJobPriority", "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceTag/department": "${aws:PrincipalTag/department}", "aws:ResourceTag/stage": "QA" }, "NumericLessThanEquals": { "s3:RequestJobPriority": 100 } } }, { "Effect": "Allow", "Action": "s3:PutJobTagging", "Resource": "*", "Condition": { "StringEquals": { "aws:RequestTag/department" : "${aws:PrincipalTag/department}", "aws:ResourceTag/department": "${aws:PrincipalTag/department}", "aws:RequestTag/stage": "QA", "aws:ResourceTag/stage": "QA" } } }, { "Effect": "Allow", "Action": "s3:GetJobTagging", "Resource": "*" } ] }
建立與更新部門內的高優先順序任務
少數使用者可能需要在 QA 或生產中建立高優先順序的任務。若要支援這項需求,您可以建立受管政策,根據上一節中的低優先順序政策調整該政策。
此政策會執行下列動作:
允許使用者使用標籤
stage=QA或stage=Production來建立或更新其部門中的任務。允許使用者建立或更新任務的優先順序,最多可達 300。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "s3:CreateJob", "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "aws:RequestTag/stage": [ "QA", "Production" ] }, "StringEquals": { "aws:RequestTag/department": "${aws:PrincipalTag/department}" }, "NumericLessThanEquals": { "s3:RequestJobPriority": 300 } } }, { "Effect": "Allow", "Action": [ "s3:UpdateJobStatus" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceTag/department": "${aws:PrincipalTag/department}" } } }, { "Effect": "Allow", "Action": "s3:UpdateJobPriority", "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "aws:ResourceTag/stage": [ "QA", "Production" ] }, "StringEquals": { "aws:ResourceTag/department": "${aws:PrincipalTag/department}" }, "NumericLessThanEquals": { "s3:RequestJobPriority": 300 } } }, { "Effect": "Allow", "Action": "s3:PutJobTagging", "Resource": "*", "Condition": { "StringEquals": { "aws:RequestTag/department": "${aws:PrincipalTag/department}", "aws:ResourceTag/department": "${aws:PrincipalTag/department}" }, "ForAnyValue:StringEquals": { "aws:RequestTag/stage": [ "QA", "Production" ], "aws:ResourceTag/stage": [ "QA", "Production" ] } } } ] }
