本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
向视图添加标签
您可以向视图添加标签,以对其进行分类。标签是客户提供的元数据,其形式为键名称字符串和关联的可选值字符串。有关标记 AWS 资源的一般信息,请参阅 Amazon Web Services 一般参考 中的标记 AWS 资源。
在视图中添加标签
您可以通过使用 AWS 管理控制台 或在 AWS SDK 中运行 AWS CLI 命令或其等效的 API 操作,将标签添加到您的资源管理器视图。
使用标签控制权限
标签的一个关键用途是支持基于属性的访问权限控制(ABAC)策略。ABAC 允许您标记资源,从而可帮助简化权限管理。然后,您可以向用户授予以某种方式标记的资源的权限。
例如,考虑以下情景。对于名为 ViewA 的视图,您可以附加标签 environment=prod(键名=值)。另一个 ViewB 可能被标记了 environment=beta。根据每个角色或用户应该能够访问的环境,您可以使用相同的标签和值来标记您的角色和用户。
然后,您可以为您的 IAM 角色、组和用户分配 AWS Identity and Access Management(IAM)权限策略。只有当提出搜索请求的角色或用户的 environment 标签值与附加到视图的 environment 标签的值相同时,该策略才会授予使用视图进行访问和搜索的权限。
这种方法的好处在于,它是动态的,不需要您维护谁有权访问哪些资源的列表。相反,您需要确保正确标记所有资源(您的视图)和主体(IAM 角色和用户)。然后,您无需更改任何策略即可自动更新权限。
在 ABAC 策略中引用标签
标记好视图后,您可以选择使用这些标签来动态控制对这些视图的访问。以下示例策略假设您的 IAM 主体和您的视图都使用标签键 environment 和某些值进行标记。完成后,您可以将下列示例策略附加到您的主体。然后,您的角色和用户可以使用任何标有 environment 标签值(与附加到主体的 environment 标签完全匹配)的视图 Search。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "resource-explorer-2:GetView", "resource-explorer-2:Search" ], "Resource": "arn:aws:resource-explorer-2:us-east-1:123456789012:view/*", "Condition": { "ForAnyValue:StringEquals": { "aws:ResourceTag/environment": "${aws:PrincipalTag/environment}" } } } ] }
如果主体和视图都有 environment 标签但值不匹配,或者如果其中一个缺少 environment 标签,则资源管理器会拒绝搜索请求。
有关使用 ABAC 安全地授予资源访问权限的更多信息,请参阅什么是 AWS 的 ABAC?
