Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà. # Utilizzo dei tag con policy IAM È possibile applicare autorizzazioni a livello di risorsa basate su tag nelle policy IAM utilizzate per le operazioni API AWS IoT . In questo modo è possibile controllare meglio le risorse che un utente può creare, modificare o utilizzare. Puoi utilizzare l'elemento `Condition` (denominato anche blocco `Condition`) con i seguenti valori e chiavi di contesto di condizione in una policy IAM per controllare l'accesso dell'utente (autorizzazione) in base ai tag della risorsa: + Utilizza `aws:ResourceTag/tag-key: tag-value` per concedere o negare agli utenti operazioni su risorse con specifici tag. + Utilizza `aws:RequestTag/tag-key: tag-value` per richiedere che un tag specifico venga utilizzato (o non utilizzato) durante la creazione di una richiesta API per creare o modificare una risorsa che abilita i tag. + Utilizza `aws:TagKeys: [tag-key, ...]` per richiedere che un set di tag specifico venga utilizzato (o non utilizzato) durante la creazione di una richiesta API per creare o modificare una risorsa che abilita i tag. **Nota** Le chiavi e i valori del contesto delle condizioni in una policy IAM si applicano solo a quelle AWS IoT azioni in cui un identificatore di una risorsa che può essere taggata è un parametro obbligatorio. Ad esempio, l'uso di non [DescribeEndpoint](https://docs.aws.amazon.com//iot/latest/apireference/API_DescribeEndpoint)è consentito o negato sulla base delle chiavi e dei valori del contesto della condizione perché in questa richiesta non viene fatto riferimento a nessuna risorsa etichettabile (gruppi di oggetti, tipi di oggetti, regole degli argomenti, job o profilo di sicurezza). Per ulteriori informazioni sulle AWS IoT risorse etichettabili e sulle chiavi di condizione che supportano, leggi [Azioni, risorse](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiot.html) e chiavi di condizione per. AWS IoT Per ulteriori informazioni sull'utilizzo dei tag, consulta [Controllo degli accessi tramite tag](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html) nella *Guida per l'utente di AWS Identity and Access Management *. La sezione relativa al [riferimento alle policy JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html) della guida ha una sintassi dettagliata, descrizioni ed esempi di elementi, variabili e logica di valutazione delle policy JSON in IAM. La policy di esempio seguente applica due restrizioni basate su tag per operazioni in `ThingGroup`. Un utente IAM limitato da questa policy: + Non può creare un gruppo di oggetti con il tag "env=prod" (nell'esempio, consulta la riga `"aws:RequestTag/env" : "prod"`). + Non può modificare o accedere a un gruppo di oggetti con un tag "env=prod" esistente (nell'esempio, consulta la riga `"aws:ResourceTag/env" : "prod"`). **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "iot:CreateThingGroup", "Resource": "*", "Condition": { "StringEquals": { "aws:RequestTag/env": "prod" } } }, { "Effect": "Deny", "Action": [ "iot:CreateThingGroup", "iot:DeleteThingGroup", "iot:DescribeThingGroup", "iot:UpdateThingGroup" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceTag/env": "prod" } } }, { "Effect": "Allow", "Action": [ "iot:CreateThingGroup", "iot:DeleteThingGroup", "iot:DescribeThingGroup", "iot:UpdateThingGroup" ], "Resource": "*" } ] } ``` È anche possibile specificare più valori di tag per una determinata chiave tag racchiudendoli in un elenco, come segue: ``` "StringEquals" : { "aws:ResourceTag/env" : ["dev", "test"] } ``` **Nota** Se consenti o neghi a un utente l'accesso a risorse in base ai tag, devi considerare esplicitamente di negare agli utenti la possibilità di aggiungere o rimuovere tali tag dalle stesse risorse. In caso contrario, un utente può eludere le restrizioni e ottenere l'accesso a una risorsa modificandone i tag.