Политика AWS IAM по внедрению Taging

Question

Политика AWS IAM по внедрению Taging

Есть ли способ применения тегов при создании экземпляров EC2? Пользователь не может запустить экземпляр без определенных тегов. И можно ли использовать эти теги, чтобы передать управление конкретному экземпляру в зависимости от тега?

6

json amazon-web-services permissions amazon-iam policies

Источник

user9230921 24 янв '18 в 16:04

3 ответа

Другие вопросы по тегам json amazon-web-services permissions amazon-iam policies

user7574248 28 сен '18 в 21:46 2018-09-28 21:46 · Answer 1 · 2018-09-28 21:46

У меня был похожий вариант использования, когда я работал на клиента. Ответ да, вы можете!

Вы можете заставить пользователей применять определенные теги с помощью политик IAM.

Например, вы можете прикрепить политику к пользователю / роли (предпочтительно роли), которая запрещает действие ec2:RunInstances с условием, которое проверяет, соответствуют ли тег Key и Value тому, что вы ожидаете. Это может немного сбивать с толку, так как эта политика использует двойное отрицание, Deny и StringNotLike, но я считаю, что проще применять теги таким образом, поскольку вы можете добавить эту политику к роли, которая имеет политику Администратора и все еще работает.

    {
        "Sid": "ConditionalEC2creationName",
        "Effect": "Deny",
        "Action": "ec2:RunInstances",
        "Resource": "arn:aws:ec2:*:*:instance/*",
        "Condition": {
            "StringNotLike": {
                "aws:RequestTag/Name": "*"
            }
        }
    },
    {
        "Sid": "ConditionalEC2creationEnv",
        "Effect": "Deny",
        "Action": "ec2:RunInstances",
        "Resource": "arn:aws:ec2:*:*:instance/*",
        "Condition": {
            "StringNotLike": {
                "aws:RequestTag/Env": "*"
            }
        }
    }

К сожалению, я не мог заставить это работать в единственном блоке, потому что у меня не было времени, чтобы оптимизировать это. Я думаю, что это связано с ForAllValues, ForAnyValue.

ForAllValues - условие возвращает true, если есть совпадение между каждым из указанных значений ключа в запросе и хотя бы одним значением в политике. Он также возвращает true, если в запросе нет совпадающего ключа или значения ключа разрешаются в пустой набор данных, например в пустую строку.

ForAnyValue - условие возвращает true, если любое из ключевых значений в запросе соответствует какому-либо одному из значений условия в политике. Если нет соответствующего ключа или пустого набора данных, условие возвращает false.

user294867 24 янв '18 в 16:13 2018-01-24 16:13 · Answer 2 · 2018-01-24 16:13

Вы можете добиться этого с помощью Amazon Config.

Select Rules -> Add Rule -> required tag

Вы не помешаете кому-либо создать экземпляр без тега, но вы сможете увидеть его помеченным на информационной панели Config или запустить действие SNS, чтобы уведомить вас по электронной почте.

2

Источник

user294867 24 янв '18 в 16:13

user7753973 24 янв '18 в 21:45 2018-01-24 21:45 · Answer 3 · 2018-01-24 21:45

Да, вы должны использовать условие "ec2:CreateAction", чтобы ограничить создание тега при создании ресурса (экземпляр / том), и условие "aws:RequestTag", чтобы указать, какое значение ключа тега требуется для создания ресурса.

Здесь приведены примеры политик, и для получения дополнительной информации, пожалуйста, обратитесь к блогу.

user6655165 22 июл '20 в 10:13 2020-07-22 10:13 · Answer 4 · 2020-07-22 10:13

Да, создание EC2 вполне возможно с возможностью выбора значений тегов, попробуйте

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Deny",
            "Action": "ec2:RunInstances",
            "Resource": "arn:aws:ec2:*:*:instance/*",
            "Condition": {
                "StringNotLike": {
                    "aws:RequestTag/Env": [
                        "Dev",
                        "Prod"
                    ]
                }
            }
        }
    ]
}