Mis recursos están etiquetados con la clave y el valor de etiqueta correctos, pero mi política de AWS Identity and Access Management (IAM) no evalúa las etiquetas de mis recursos.
Breve descripción
Las políticas de IAM pueden usar la clave de condición global aws:ResourceTag/tag-key para controlar el acceso basado en la clave y el valor de la etiqueta del recurso. No todos los servicios de AWS son compatibles con la autorización de etiquetas. Algunos recursos de AWS, como las funciones de AWS Lambda y las colas de Amazon Simple Queue Service (Amazon SQS), se pueden etiquetar. Sin embargo, estas etiquetas no se pueden usar en una política de IAM para controlar el acceso a los recursos. Para obtener una lista de los servicios de AWS compatibles con la autorización basada en etiquetas, consulta Servicios de AWS que funcionan con IAM.
Resolución
Si un servicio de AWS no es compatible con la autorización basada en etiquetas, comprueba las acciones, recursos y claves de condición del servicio para ver los permisos a nivel de recurso y las claves de condición compatibles con las políticas de IAM. Algunos servicios de AWS, como Información general sobre la administración del acceso en Amazon SQS y Políticas de IAM basadas en identidad para AWS Lambda, disponen de documentación que contiene ejemplos de políticas de IAM.
Algunas acciones de Lambda, como DeleteFunction y PublishVersion, pueden restringirse a una función de Lambda específica mediante el uso de permisos a nivel de recurso. Adjuntar esta política de IAM de ejemplo a un usuario IAM permite estas acciones de Lambda, pero solo en una única función de Lambda.
Nota: Edita la política de IAM para incluir tu propio ARN de función de Lambda.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowActionsOnSpecificFunction",
"Effect": "Allow",
"Action": [
"lambda:DeleteFunction",
"lambda:PublishVersion"
],
"Resource": "arn:aws:lambda:us-west-2:123456789012:function:my-function"
}
]
}
Información relacionada
¿Cómo puedo restringir el acceso a una sesión de rol de IAM específica mediante una política basada en identidad de IAM?
¿Cómo puedo crear una política de IAM para la restricción basada en etiquetas con las claves de condición PrincipalTag, ResourceTag, RequestTag y TagKeys?