J’ai ajouté des identifications à mes ressources AWS, mais ma stratégie IAM ne fonctionne pas. Quels services AWS prennent en charge les identifications basées sur des autorisations ?

Lecture de 2 minute(s)
0

Mes ressources sont identifiées avec la clé et la valeur d’identification appropriées, mais la stratégie AWS Identity and Access Management (IAM) n’évalue pas les identifications de mes ressources.

Brève description

Les stratégies IAM peuvent utiliser la clé de condition globale aws:ResourceTag/tag-key pour contrôler les accès en fonction de la clé et de la valeur d’identification de la ressource. Les services AWS ne prennent pas tous en charge l’autorisation des balises. Certaines ressources AWS, telles que les fonctions AWS Lambda et les files d'attente Amazon Simple Queue Service (Amazon SQS), peuvent être balisées. Cependant, ces balises ne peuvent pas être utilisées dans une politique IAM pour contrôler l’accès aux ressources. Pour obtenir la liste des services AWS qui prennent en charge l’autorisation basée sur des balises, consultez la rubrique Services AWS compatibles avec IAM.

Résolution

Si un service AWS n’est pas compatible avec l’autorisation basée sur des identifications, vérifiez les actions, les ressources et les clés de condition du service pour voir les autorisations au niveau des ressources et les clés de condition prises en charge dans les stratégies IAM. Pour certains services AWS, tels que la Vue d’ensemble de la gestion des accès dans Amazon SQS et les politiques IAM basées sur l’identité pour AWS Lambda, il existe une documentation contenant des exemples de politiques IAM.

Certaines actions Lambda, telles que DeleteFunction et PublishVersion, peuvent être limitées à une fonction Lambda spécifique en utilisant des autorisations au niveau des ressources. Le fait d’associer cet exemple de politique IAM à un utilisateur IAM autorise ces actions Lambda, mais uniquement sur une seule fonction Lambda.

Remarque : modifiez la politique IAM pour inclure votre propre ARN de fonction Lambda.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowActionsOnSpecificFunction",
      "Effect": "Allow",
      "Action": [
        "lambda:DeleteFunction",
        "lambda:PublishVersion"
      ],
      "Resource": "arn:aws:lambda:us-west-2:123456789012:function:my-function"
    }
  ]
}

Informations connexes

Comment puis-je utiliser une stratégie basée sur l’identité IAM pour restreindre l’accès à une session affectée à un rôle IAM spécifique ?

Comment puis-je utiliser les clés de condition PrincipalTag, ResourceTag, RequestTag et TagKeys pour créer une stratégie IAM de restrictions basées sur des identifications ?

AWS OFFICIEL
AWS OFFICIELA mis à jour il y a 2 mois