Utilizzo dei tag con policy IAM - AWS IoT Core

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Utilizzo dei tag con policy IAM

È possibile applicare autorizzazioni a livello di risorsa basate su tag nelle policy IAM utilizzate per le operazioni API AWS IoT . In questo modo è possibile controllare meglio le risorse che un utente può creare, modificare o utilizzare. Puoi utilizzare l'elemento Condition (denominato anche blocco Condition) con i seguenti valori e chiavi di contesto di condizione in una policy IAM per controllare l'accesso dell'utente (autorizzazione) in base ai tag della risorsa:

  • Utilizza aws:ResourceTag/tag-key: tag-value per concedere o negare agli utenti operazioni su risorse con specifici tag.

  • Utilizza aws:RequestTag/tag-key: tag-value per richiedere che un tag specifico venga utilizzato (o non utilizzato) durante la creazione di una richiesta API per creare o modificare una risorsa che abilita i tag.

  • Utilizza aws:TagKeys: [tag-key, ...] per richiedere che un set di tag specifico venga utilizzato (o non utilizzato) durante la creazione di una richiesta API per creare o modificare una risorsa che abilita i tag.

Nota

Le chiavi e i valori del contesto delle condizioni in una policy IAM si applicano solo a quelle AWS IoT azioni in cui un identificatore di una risorsa che può essere taggata è un parametro obbligatorio. Ad esempio, l'uso di non DescribeEndpointè consentito o negato sulla base delle chiavi e dei valori del contesto della condizione perché in questa richiesta non viene fatto riferimento a nessuna risorsa etichettabile (gruppi di oggetti, tipi di oggetti, regole degli argomenti, job o profilo di sicurezza). Per ulteriori informazioni sulle AWS IoT risorse etichettabili e sulle chiavi di condizione che supportano, leggi Azioni, risorse e chiavi di condizione per. AWS IoT

Per ulteriori informazioni sull'utilizzo dei tag, consulta Controllo degli accessi tramite tag nella Guida per l'utente di AWS Identity and Access Management . La sezione relativa al riferimento alle policy JSON IAM della guida ha una sintassi dettagliata, descrizioni ed esempi di elementi, variabili e logica di valutazione delle policy JSON in IAM.

La policy di esempio seguente applica due restrizioni basate su tag per operazioni in ThingGroup. Un utente IAM limitato da questa policy:

  • Non può creare un gruppo di oggetti con il tag "env=prod" (nell'esempio, consulta la riga "aws:RequestTag/env" : "prod").

  • Non può modificare o accedere a un gruppo di oggetti con un tag "env=prod" esistente (nell'esempio, consulta la riga "aws:ResourceTag/env" : "prod").

JSON
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": "iot:CreateThingGroup",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:RequestTag/env": "prod"
        }
      }
    },
    {
      "Effect": "Deny",
      "Action": [
        "iot:CreateThingGroup",
        "iot:DeleteThingGroup",
        "iot:DescribeThingGroup",
        "iot:UpdateThingGroup"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:ResourceTag/env": "prod"
        }
      }
    },
    {
      "Effect": "Allow",
      "Action": [
        "iot:CreateThingGroup",
        "iot:DeleteThingGroup",
        "iot:DescribeThingGroup",
        "iot:UpdateThingGroup"
      ],
      "Resource": "*"
    }
  ]
}

È anche possibile specificare più valori di tag per una determinata chiave tag racchiudendoli in un elenco, come segue: 


            "StringEquals" : {
              "aws:ResourceTag/env" : ["dev", "test"]
            }
Nota

Se consenti o neghi a un utente l'accesso a risorse in base ai tag, devi considerare esplicitamente di negare agli utenti la possibilità di aggiungere o rimuovere tali tag dalle stesse risorse. In caso contrario, un utente può eludere le restrizioni e ottenere l'accesso a una risorsa modificandone i tag.