Question

Я хочу запретить все действия на любом ресурсе с указанным тегом c Environment: SOME_ENV. Если ресурс имеет другое значение тега или не имеет тега, действия разрешены.

Я создаю это условие:

Effect: Deny
Action: '*'
Resource: '*'
Condition:
  StringEquals:
    aws:ResourceTag/Environment: SOME_ENV

, а также проверяюсь с:

Condition:
  StringEquals:
    aws:ResourceTag/Environment: SOME_ENV
  'Null':
    aws:ResourceTag/Environment: false

Проблема в том, что я могу читать лямбда-код, теги и все, что есть на консоли, но я ожидал, что это невозможно.

Замечания:

Я дал действия просмотра (ниже), и из-за этого я могу просматривать лямбда-код, но я не могу вносить изменения, как ожидалось.

Sid: 'ViewOnlyActions'
Effect: Allow
Action:
 - lambda:Get*
Resource: '*'

jarmod · Answer 1 · 26 января 2020

Условия политики для ключа aws: ResourceTag относятся только к AWS службам, которые поддерживают авторизацию на основе тегов .

AWS Lambda. Например, не поддерживает авторизацию на основе тегов в данный момент времени.

Devesh mehta · Answer 2 · 25 января 2020

Это очень хорошо объяснено в этих документах

https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html

https://aws.amazon.com/blogs/security/simplify-granting-access-to-your-aws-resources-by-using-tags-on-aws-iam-users-and-roles/

AWS IAM - Как отказать в любых действиях с ресурсами, у которых есть указанный тег c?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 2 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

AWS IAM - Как отказать в любых действиях с ресурсами, у которых есть указанный тег c?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 2 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы