Usando AWS re:Post, accetti AWS re:Post Termini di utilizzo

Ho aggiunto tag alle mie risorse AWS, ma la mia policy IAM non funziona. Quali servizi AWS supportano i tag basati sull'autorizzazione?

2 minuti di lettura
0

Le mie risorse sono contrassegnate con la chiave e il valore del tag corretti, ma la mia policy AWS Identity and Access Management (IAM) non valuta i tag sulle mie risorse.

Breve descrizione

Le policy IAM possono utilizzare la chiave di condizione globale aws:ResourceTag/tag-key per controllare l'accesso in base alla chiave e al valore del tag della risorsa. Non tutti i servizi AWS supportano l'autorizzazione dei tag. Alcune risorse AWS, come le funzioni AWS Lambda e le code Amazon Simple Queue Service (Amazon SQS), possono essere contrassegnate. Tuttavia, questi tag non possono essere utilizzati in una policy IAM per controllare l'accesso alle risorse. Per un elenco dei servizi AWS che supportano l'autorizzazione basata su tag, consulta i servizi AWS che funzionano con IAM.

Risoluzione

Se un servizio AWS non supporta l'autorizzazione basata su tag, controlla le operazioni, le risorse e le chiavi di condizione del servizio per vedere le autorizzazioni e le chiavi di condizione a livello di risorsa supportate nelle policy IAM. Alcuni servizi AWS, come Overview of management access in Amazon SQS e le Identity-based IAM policies for AWS Lambda, dispongono di una documentazione che contiene esempi di policy IAM.

Alcune azioni Lambda, come DeleteFunction e PublishVersion, possono essere limitate a una funzione Lambda specifica utilizzando autorizzazioni a livello di risorsa. L'associazione di questa policy IAM di esempio a un utente IAM consente queste azioni Lambda, ma solo su una singola funzione Lambda.

**Nota:**modifica la policy IAM per includere il tuo ARN della funzione Lambda.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowActionsOnSpecificFunction",
      "Effect": "Allow",
      "Action": [
        "lambda:DeleteFunction",
        "lambda:PublishVersion"
      ],
      "Resource": "arn:aws:lambda:us-west-2:123456789012:function:my-function"
    }
  ]
}

Informazioni correlate

Come posso limitare l'accesso a una sessione di ruolo IAM specifica utilizzando una policy basata sull'identità IAM?

Come posso utilizzare le chiavi di condizione PrincipalTag, ResourceTag, RequestTag e TagKeys per creare una policy IAM per la restrizione basata su tag?

AWS UFFICIALE
AWS UFFICIALEAggiornata un mese fa