Octroi de l'autorisation de baliser les ressources lors de la création - Amazon Elastic Container Service
Amazon ECS contrôle l'accès à des balises spécifiques

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Octroi de l'autorisation de baliser les ressources lors de la création

Les actions de balisage lors de la création d'API Amazon ECS suivantes vous permettent de spécifier des balises lorsque vous créez la ressource. Si des balises sont spécifiées dans l'action de création de ressources, AWS effectue une autorisation supplémentaire pour vérifier que les autorisations appropriées sont attribuées pour créer des balises.

  • CreateCapacityProvider

  • CreateCluster

  • CreateService

  • CreateTaskSet

  • RegisterContainerInstance

  • RegisterTaskDefinition

  • RunTask

  • StartTask

Vous pouvez utiliser des balises de ressource pour implémenter le contrôle basé sur les attributs (ABAC). Pour plus d’informations, consultez Contrôle de l'accès aux ressources Amazon ECS à l'aide des balises de ressources et Marquage des ressources Amazon ECS.

Pour autoriser le balisage lors de la création, créez ou modifiez une politique afin d'inclure à la fois les autorisations d'utilisation de l'action qui crée la ressource, telle que ecs:CreateCluster ou ecs:RunTask et l'action ecs:TagResource.

L'exemple suivant illustre une politique qui permet aux utilisateurs de créer des clusters et d'ajouter des balises lors de la création du cluster. Les utilisateurs ne sont pas autorisés à attribuer des balises aux ressources existantes (ils ne peuvent pas appeler l’action ecs:TagResource directement).

{
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
         "ecs:CreateCluster"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
         "ecs:TagResource"
      ],
      "Resource": "*",
      "Condition": {
         "StringEquals": {
                  "ecs:CreateAction": [
                      "CreateCluster",
                      "CreateCapacityProvider",
                      "CreateService",
                      "CreateTaskSet",
                      "RegisterContainerInstance",
                      "RegisterTaskDefinition",
                      "RunTask",
                      "StartTask"
                  ]
          }
       }
    }
  ]
}

L’action ecs:TagResource est uniquement évaluée si les balises sont appliquées pendant l’action de création de ressources. Par conséquent, un utilisateur qui est autorisé à créer une ressource (en supposant qu’il n’existe aucune condition de balisage) n’a pas besoin des autorisations d’utiliser l’action ecs:TagResource si aucune balise n’est spécifié dans la demande. Toutefois, si l’utilisateur essaie de créer une ressource avec des balises, la demande échoue s’il n’a pas les autorisations d’utiliser l’action ecs:TagResource.

Amazon ECS contrôle l'accès à des balises spécifiques

Vous pouvez utiliser des conditions supplémentaires dans l’élément Condition de vos stratégies IAM pour contrôler les clés de balise et les valeurs qui peuvent être appliquées aux ressources.

Les clés de condition suivantes peuvent être utilisées avec les exemples de la section précédente :

  • aws:RequestTag : Pour indiquer qu’une clé de balise ou une clé et valeur de balise particulière doit être présente dans une demande. D’autres balises peuvent également être spécifiées dans la demande.

    • Utilisez avec l’opérateur de condition StringEquals pour appliquer une combinaison de clé de balise et de valeur spécifique ; par exemple, pour appliquer la balise cost-center=cc123 :

      "StringEquals": { "aws:RequestTag/cost-center": "cc123" }

    • A utiliser avec l’opération de condition StringLike pour appliquer une clé de balise spécifique dans la demande ; par exemple, pour appliquer la clé de balise purpose:

      "StringLike": { "aws:RequestTag/purpose": "*" }

  • aws:TagKeys : Pour appliquer les clés de balise qui sont utilisées dans la demande.

    • A utiliser avec le modificateur ForAllValues pour appliquer des clés de balise spécifiques si celles-ci sont fournies dans la demande (si les balises sont spécifiées dans la demande, seules les clés de balise spécifiques sont autorisées ; aucune autre balise n’est autorisée). Par exemple, les clés de balise environment ou cost-center sont autorisées :

      "ForAllValues:StringEquals": { "aws:TagKeys": ["environment","cost-center"] }

    • A utiliser avec le modificateur ForAnyValue pour appliquer la présence d’au moins l’une des clés de balise spécifiées dans la demande. Par exemple, au moins l’une des clés de balise environment ou webserver doit être présente dans la demande :

      "ForAnyValue:StringEquals": { "aws:TagKeys": ["environment","webserver"] }

Ces clés de condition peuvent être appliquées aux actions de création de ressources qui prennent en charge le balisage, ainsi qu'à l'action ecs:TagResource. Pour savoir si une action d'API Amazon ECS prend en charge le balisage, veuillez consulter Actions, ressources et clés de condition pour Amazon ECS.

Pour forcer les utilisateurs à spécifier des balises quand ils créent une ressource, vous devez utiliser la clé de condition aws:RequestTag ou la clé de condition aws:TagKeys avec le modificateur ForAnyValue sur l’action de création de ressources. L’action ecs:TagResource n’est pas évaluée si un utilisateur ne spécifie pas de balises pour l’action de création de ressources.

Pour les conditions, la clé de condition n’est pas sensible à la casse et la valeur de la condition est sensible à la casse. Par conséquent pour forcer la sensibilité à la casse d’une clé de balise, utilisez la clé de condition aws:TagKeys, où la clé de balise est indiquée comme une valeur dans la condition.

Pour plus d'informations sur les conditions à valeurs multiples, consultez la section Conditions comportant plusieurs clés ou valeurs de contexte dans le Guide de l'utilisateur IAM.