Meine Ressourcen sind mit dem richtigen Tag-Schlüssel und -Wert gekennzeichnet, aber meine AWS Identity and Access Management (IAM, Identitäts- und Zugriffsmanagement)-Richtlinie bewertet die Tags auf meinen Ressourcen nicht.
Kurzbeschreibung
IAM-Richtlinien können den globalen Bedingungsschlüssel aws:ResourceTag/tag-key verwenden, um den Zugriff auf der Grundlage des Tag-Schlüssels und -Werts der Ressource zu steuern. Nicht alle AWS-Services unterstützen die Tag-Autorisierung. Einige AWS-Ressourcen wie z. B. AWS-Lambda-Funktionen und Amazon Simple Queue Service (Amazon SQS)-Warteschlangen können mit Tags versehen werden. Diese Tags können jedoch nicht in einer IAM-Richtlinie verwendet werden, um den Zugriff auf die Ressourcen zu kontrollieren. Eine Liste der AWS-Services, die Tag-basierte Autorisierung unterstützen, findest du unter AWS-Services, die mit IAM funktionieren.
Behebung
Wenn ein AWS-Service keine Tag-basierte Autorisierung unterstützt, überprüfe die Aktionen, Ressourcen und Bedingungsschlüssel für den Service, um die Berechtigungen und Bedingungsschlüssel auf Ressourcenebene zu sehen, die in den IAM-Richtlinien unterstützt werden. Einige AWS-Services wie Überblick über die Verwaltung von Zugriffsberechtigungen in Amazon SQS und Identitätsbasierte IAM-Richtlinien für AWS Lambda verfügen über eine Dokumentation, die Beispiel-IAM-Richtlinien enthält.
Einige Lambda-Aktionen wie DeleteFunction und PublishVersion können mithilfe von Berechtigungen auf Ressourcenebene auf eine bestimmte Lambda-Funktion beschränkt werden. Das Anhängen dieser Beispiel-IAM-Richtlinie an einen IAM-Benutzer ermöglicht diese Lambda-Aktionen, jedoch nur für eine einzelne Lambda-Funktion.
Hinweis: Bearbeite die IAM-Richtlinie so, dass sie deinen eigenen Lambda-Funktions-ARN enthält.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowActionsOnSpecificFunction",
"Effect": "Allow",
"Action": [
"lambda:DeleteFunction",
"lambda:PublishVersion"
],
"Resource": "arn:aws:lambda:us-west-2:123456789012:function:my-function"
}
]
}
Ähnliche Informationen
Wie verwende ich eine auf IAM-Identität basierende Richtlinie, um den Zugriff auf eine bestimmte IAM-Rollensitzung einzuschränken?
Wie erstelle ich eine IAM-Richtlinie für Tag-basierte Einschränkungen mit den Bedingungsschlüsseln PrincipalTag, ResourceTag, RequestTag und TagKeys?