Eu adicionei tags aos meus recursos da AWS, mas minha política do IAM não funciona. Quais serviços da AWS oferecem suporte a tags baseadas em autorização?

2 minuto de leitura
0

Meus recursos estão marcados com a chave e o valor corretos da tag, mas minha política do AWS Identity and Access Management (AWS IAM) não está avaliando as tags em meus recursos.

Breve descrição

As políticas do IAM podem usar a chave de condição global aws:ResourceTag/tag-key para controlar o acesso com base na chave e valor da tag do recurso. Nem todos os serviços da AWS oferecem suporte à autorização de tags. Alguns recursos da AWS, como as funções do AWS Lambda e as filas do Amazon Simple Queue Service (Amazon SQS), podem ser marcados. No entanto, essas tags não podem ser usadas em uma política do IAM para controlar o acesso aos recursos. Para obter uma lista dos serviços da AWS que oferecem suporte à autorização baseada em tags, consulte Serviços da AWS que funcionam com o IAM.

Solução

Se um serviço da AWS não oferecer suporte à autorização baseada em tags, verifique as ações, os recursos e as chaves de condição do serviço para consultar as permissões em nível de recurso e as chaves de condição compatíveis com as políticas do IAM. Alguns serviços da AWS, como aVisão geral do gerenciamento de acesso no Amazon SQS e as políticas de IAM baseadas em identidade para o AWS Lambda, têm documentação que contém exemplos de políticas de IAM.

Algumas ações do Lambda, como DeleteFunction e PublishVersion, podem ser restritas a uma função específica do Lambda usando permissões em nível de recurso. Anexar esse exemplo de política do IAM a um usuário do IAM permite essas ações do Lambda, mas somente em uma única função do Lambda.

**Observação:**Edite a política do IAM para incluir seu próprio ARN da função Lambda.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowActionsOnSpecificFunction",
      "Effect": "Allow",
      "Action": [
        "lambda:DeleteFunction",
        "lambda:PublishVersion"
      ],
      "Resource": "arn:aws:lambda:us-west-2:123456789012:function:my-function"
    }
  ]
}

Informações relacionadas

Como faço para usar uma política baseada em identidade do IAM para restringir o acesso a uma sessão de perfil específica do IAM?

Como faço para usar as chaves de condição PrincipalTag, ResourceTag, RequestTag e TagKeys para criar uma política do IAM para restrição baseada em tags?

AWS OFICIAL
AWS OFICIALAtualizada há 2 meses