As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Controlar o acesso às tags
<a name="tag-permissions"></a>

Para adicionar, visualizar e excluir tags usando a API, as entidades principais precisam de permissões de marcação nas políticas do IAM.

Você também pode limitar essas permissões usando chaves de condição AWS globais para tags. Na criptografia AWS de pagamento, essas condições podem controlar o acesso às operações de marcação, como e. [TagResource[UntagResource](https://docs.aws.amazon.com/payment-cryptography/latest/APIReference/API_UntagResource.html)](https://docs.aws.amazon.com/payment-cryptography/latest/APIReference/API_TagResource.html)

Para mais informações e exemplos de políticas, consulte [Controlar o acesso baseado em chaves de etiqueta](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html#access_tags_control-tag-keys), no *Guia do Usuário do IAM*.

As permissões para criar e gerenciar aliases funcionam como a seguir.

**criptografia de pagamento: TagResource**  
Permite que as entidades principais adicionem ou editem etiquetas. Para adicionar tags ao criar uma chave, a entidade principal deve ter permissão em uma política do IAM que não esteja restrita a chaves específicas.

**criptografia de pagamento: ListTagsForResource**  
Permite que as entidades principais visualizem tags em chaves.

**criptografia de pagamento: UntagResource**  
Permite que as entidades principais excluam tags de chaves.

## Permissões de etiquetas em políticas
<a name="tag-permission-examples"></a>

Você pode fornecer permissões de marcação em uma política de chaves ou política do IAM. O seguinte exemplo de política de chaves concede permissão de marcação a usuários selecionados na chave. Ele concede a todos os usuários que podem assumir os exemplos de funções Administrador ou Desenvolvedor permissão para visualizar etiquetas.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Id": "example-key-policy",
  "Statement": [
    { 
      "Sid": "EnableIAMUserPermissions",
      "Effect": "Allow",
      "Principal": {"AWS": "arn:aws:iam::111122223333:root"},
      "Action": "payment-cryptography:*",
      "Resource": "*"
    },
    {
      "Sid": "AllowAllTaggingPermissions",
      "Effect": "Allow",
      "Principal": {"AWS": [
        "arn:aws:iam::111122223333:user/LeadAdmin",
        "arn:aws:iam::111122223333:user/SupportLead"
      ]},
      "Action": [
        "payment-cryptography:TagResource",
        "payment-cryptography:ListTagsForResource",
        "payment-cryptography:UntagResource"
      ],
      "Resource": "*"
    },
    {
      "Sid": "Allow roles to view tags",
      "Effect": "Allow",
      "Principal": {
        "AWS": [
          "arn:aws:iam::111122223333:role/Administrator",
          "arn:aws:iam::111122223333:role/Developer"
        ]
      },
      "Action": "payment-cryptography:ListTagsForResource",
      "Resource": "*"
    }
  ]
}
```

------

Para conceder permissão de marcação de entidades principais em várias chaves, é possível usar uma política do IAM. Para que essa política seja eficiente, a política de chaves de cada chave deve permitir que a conta utilize políticas do IAM para controlar o acesso à chave.

Por exemplo, a seguinte política do IAM permite que as entidades principais criem chaves. Ela também permite que eles criem e gerenciem tags em todas as chaves na conta especificada. Essa combinação permite que os diretores usem o parâmetro tags da [CreateKey](https://docs.aws.amazon.com/payment-cryptography/latest/APIReference/API_CreateKey.html)operação para adicionar tags a uma chave enquanto a criam. 

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "IAMPolicyCreateKeys",
      "Effect": "Allow",
      "Action": "payment-cryptography:CreateKey",
      "Resource": "*"
    },
    {
      "Sid": "IAMPolicyTags",
      "Effect": "Allow",
      "Action": [
        "payment-cryptography:TagResource",
        "payment-cryptography:UntagResource",
        "payment-cryptography:ListTagsForResource"
      ],
      "Resource": "arn:aws:payment-cryptography:*:111122223333:key/*"
    }    
  ]
}
```

------

## Limitar permissões de etiquetas
<a name="tag-permissions-conditions"></a>

É possível limitar permissões de marcação usando condições de política. As seguintes condições de política podem ser aplicadas às permissões `payment-cryptography:TagResource` e `payment-cryptography:UntagResource`. Por exemplo, você pode usar a condição `aws:RequestTag/tag-key` para permitir que uma entidade principal adicione apenas etiquetas específicas, ou pode impedir que uma entidade principal adicione etiquetas com chaves de etiqueta específicas.
+ [leis: RequestTag](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-requesttag)
+ [aws:ResourceTag/*tag-key (somente*](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-resourcetag) políticas do IAM)
+ [leis: TagKeys](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-tag-keys)

Como prática recomendada ao usar tags para controlar o acesso a chaves, use as chaves de condição `aws:RequestTag/tag-key` ou `aws:TagKeys` para determinar quais tags (ou chaves de tag) são permitidas.

Por exemplo, a política do IAM a seguir é semelhante à anterior. No entanto, essa política permite que as entidades principais criem etiquetas (`TagResource`) e excluam etiquetas `UntagResource` somente para etiquetas com um chave de etiqueta `Project`.

Como `TagResource` as `UntagResource` solicitações podem incluir várias tags, você deve especificar um operador `ForAllValues` ou `ForAnyValue` definir com a TagKeys condição [aws:](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-tagkeys). O operador `ForAnyValue` exige que pelo menos uma das chaves de etiqueta na solicitação corresponda a uma das chaves de etiqueta na política. O operador `ForAllValues` requer que todas as chaves de etiqueta na solicitação correspondam a uma das chaves de etiqueta na política. O `ForAllValues` operador também retorna `true` se não houver tags na solicitação, mas TagResource UntagResource falhará quando nenhuma tag for especificada. Para detalhes sobre os operadores de conjunto, consulte[Usar várias chaves e valores](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_multi-value-conditions.html#reference_policies_multi-key-or-value-conditions), no *Manual do usuário do IAM*.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "IAMPolicyCreateKey",
      "Effect": "Allow",
      "Action": "payment-cryptography:CreateKey",
      "Resource": "*"
    },
    {
      "Sid": "IAMPolicyViewAllTags",
      "Effect": "Allow",
      "Action": "payment-cryptography:ListTagsForResource",
      "Resource": "arn:aws:payment-cryptography:*:111122223333:key/*"
    },
    {
      "Sid": "IAMPolicyManageTags",
      "Effect": "Allow",
      "Action": [
        "payment-cryptography:TagResource",
        "payment-cryptography:UntagResource"
      ],
      "Resource": "arn:aws:payment-cryptography:*:111122223333:key/*",
      "Condition": {
          "ForAllValues:StringEquals": {"aws:TagKeys": "Project"}
      }
    }
  ]
}
```

------