搭配 IAM 政策使用標籤 - AWS RoboMaker

AWS RoboMaker 不再提供給新客戶。現有客戶 AWS RoboMaker 可以繼續正常使用該服務。 AWS Batch 現在是執行容器化模擬的首選服務。進一步了解

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

搭配 IAM 政策使用標籤

您可以在用於 AWS RoboMaker API 動作的 IAM 政策中,套用以標籤為基礎的資源層級許可。這可讓您更有效地控制使用者可以建立、修改或使用哪些資源。您可以使用 Condition 元素 (也稱為 Condition 區塊),以及 IAM 政策中的以下條件內容金鑰和值,來根據資源標籤控制使用者存取 (許可):

  • 使用 aws:ResourceTag/tag-key: tag-value 以允許或拒絕資源上具有特定標籤的使用者動作。

  • 使用 aws:RequestTag/tag-key: tag-value 以在提出 API 請求時,要求使用 (或不使用) 特定標籤,以建立或修改允許標籤的資源。

  • 使用 aws:TagKeys: [tag-key, ...] 以在提出 API 請求時,要求使用 (或不使用) 特定標籤金鑰集,以建立或修改允許標籤的資源。

注意

IAM 政策中的條件內容金鑰和值,只會套用到資源識別符可標記為必要參數的那些 AWS RoboMaker 動作。例如,根據條件內容金鑰和值,不允許或拒絕使用,因為在此請求中所參照的項目沒有可標記資源 (群組、自動機器人、機器人應用程式、模擬任務、任務、任務)。ListFleets

如需詳細資訊,請參閱 AWS Identity of Access Management 使用者指南中的的使用標記控制AWS資源的存取權。該指南的 IAM JSON 政策參照部分包含 IAM 中 JSON 政策的元素、變數和評估邏輯的詳細語法、描述和範例。

以下範例政策會套用兩個以標籤為基礎的限制。受到此政策限制的 IAM 使用者:

  • 無法建立含標籤的自動機制"env=prod" (在範例中,請參閱該行"aws:RequestTag/env" : "prod")。

  • 無法刪除具有現有標籤的自動機制"env=prod" (在範例中,請參閱該行"aws:ResourceTag/env" : "prod")。

{
    "Version" : "2012-10-17",
    "Statement" : [
        {
          "Effect" : "Deny",
          "Action" : "robomaker:CreateRobot",
          "Resource" : "*",
          "Condition" : {
            "StringEquals" : {
              "aws:RequestTag/env" : "prod"
            }
          }
        },
        {
          "Effect" : "Deny",
          "Action" : "robomaker:DeleteRobot",
          "Resource" : "*",
          "Condition" : {
            "StringEquals" : {
              "aws:ResourceTag/env" : "prod"
            }
          }
        },
        {
          "Effect": "Allow",
          "Action": "robomaker:*",
          "Resource": "*"
        }
    ]
}

您也可以透過將其包含在清單中,為特定標籤金鑰指定多個標籤值,如下所示:


            "StringEquals" : {
              "aws:ResourceTag/env" : ["dev", "test"]
}
注意

如果您允許或拒絕使用者根據標籤存取資源,請務必考慮明確拒絕使用者將這些標籤新增至相同資源或從中移除的能力。否則,使用者可能透過修改標籤來避開您的限制,並取得資源的存取。