Ich habe meinen AWS-Ressourcen Tags hinzugefügt, aber meine IAM-Richtlinie funktioniert nicht. Welche AWS-Services unterstützen autorisierungsbasierte Tags?

Lesedauer: 2 Minute
0

Meine Ressourcen sind mit dem richtigen Tag-Schlüssel und -Wert gekennzeichnet, aber meine AWS Identity and Access Management (IAM, Identitäts- und Zugriffsmanagement)-Richtlinie bewertet die Tags auf meinen Ressourcen nicht.

Kurzbeschreibung

IAM-Richtlinien können den globalen Bedingungsschlüssel aws:ResourceTag/tag-key verwenden, um den Zugriff auf der Grundlage des Tag-Schlüssels und -Werts der Ressource zu steuern. Nicht alle AWS-Services unterstützen die Tag-Autorisierung. Einige AWS-Ressourcen wie z. B. AWS-Lambda-Funktionen und Amazon Simple Queue Service (Amazon SQS)-Warteschlangen können mit Tags versehen werden. Diese Tags können jedoch nicht in einer IAM-Richtlinie verwendet werden, um den Zugriff auf die Ressourcen zu kontrollieren. Eine Liste der AWS-Services, die Tag-basierte Autorisierung unterstützen, findest du unter AWS-Services, die mit IAM funktionieren.

Behebung

Wenn ein AWS-Service keine Tag-basierte Autorisierung unterstützt, überprüfe die Aktionen, Ressourcen und Bedingungsschlüssel für den Service, um die Berechtigungen und Bedingungsschlüssel auf Ressourcenebene zu sehen, die in den IAM-Richtlinien unterstützt werden. Einige AWS-Services wie Überblick über die Verwaltung von Zugriffsberechtigungen in Amazon SQS und Identitätsbasierte IAM-Richtlinien für AWS Lambda verfügen über eine Dokumentation, die Beispiel-IAM-Richtlinien enthält.

Einige Lambda-Aktionen wie DeleteFunction und PublishVersion können mithilfe von Berechtigungen auf Ressourcenebene auf eine bestimmte Lambda-Funktion beschränkt werden. Das Anhängen dieser Beispiel-IAM-Richtlinie an einen IAM-Benutzer ermöglicht diese Lambda-Aktionen, jedoch nur für eine einzelne Lambda-Funktion.

Hinweis: Bearbeite die IAM-Richtlinie so, dass sie deinen eigenen Lambda-Funktions-ARN enthält.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowActionsOnSpecificFunction",
      "Effect": "Allow",
      "Action": [
        "lambda:DeleteFunction",
        "lambda:PublishVersion"
      ],
      "Resource": "arn:aws:lambda:us-west-2:123456789012:function:my-function"
    }
  ]
}

Ähnliche Informationen

Wie verwende ich eine auf IAM-Identität basierende Richtlinie, um den Zugriff auf eine bestimmte IAM-Rollensitzung einzuschränken?

Wie erstelle ich eine IAM-Richtlinie für Tag-basierte Einschränkungen mit den Bedingungsschlüsseln PrincipalTag, ResourceTag, RequestTag und TagKeys?

AWS OFFICIAL
AWS OFFICIALAktualisiert vor 3 Monaten