Contrôle de l'accès aux ressources Amazon ECS à l'aide des balises de ressources

Lorsque vous créez une politique IAM qui accorde aux utilisateurs l'autorisation d'utiliser les ressources Amazon ECS, vous pouvez inclure des informations de balise dans l'élément Condition de la politique pour contrôler l'accès en fonction des balises. Ceci est connu sous le nom de contrôle d’accès basé sur les attributs (ABAC). ABAC vous offre un meilleur contrôle sur les ressources qu’un utilisateur peut modifier, utiliser ou supprimer. Pour plus d’informations, consultez Présentation d’ABAC pour AWS.

Par exemple, vous pouvez créer une politique qui permet aux utilisateurs de supprimer un cluster, mais qui refuse l'action si le cluster possède la balise environment=production. Pour ce faire, vous utilisez la clé de condition aws:ResourceTag pour autoriser ou refuser l’accès à la ressource en fonction des balises attachées à la ressource.

"StringEquals": { "aws:ResourceTag/environment": "production" }

Pour savoir si une action d'API Amazon ECS prend en charge le contrôle d'accès à l'aide de la clé de condition aws:ResourceTag, veuillez consulter Actions, ressources et clés de condition pour Amazon ECS. Notez que les actions Describe ne prennent pas en charge les autorisations au niveau des ressources, vous devez donc les spécifier dans une instruction distincte sans condition.

Par exemple les stratégies IAM, consultez Exemples de politiques Amazon ECS .

Si vous autorisez ou refusez à des utilisateurs l’accès à des ressources en fonction de balises, vous devez envisager de refuser de manière explicite la possibilité pour les utilisateurs d’ajouter ces balises ou de les supprimer des mêmes ressources. Sinon, il sera possible pour un utilisateur de contourner vos restrictions et d’obtenir l’accès à une ressource en modifiant ses balises.