Eu adicionei etiquetas aos meus recursos da AWS, mas minha política do IAM não está funcionando. Quais serviços da AWS oferecem suporte a etiquetas baseadas em autorização?

2 minuto de leitura

Meus recursos são marcados com a chave e o valor corretos da etiqueta, mas minha política do AWS Identity and Access Management (IAM) não está avaliando as etiquetas em meus recursos.

Breve descrição

As políticas do IAM podem usar a chave de condição global aws:ResourceTag para controlar o acesso com base na chave e no valor da etiqueta do recurso. Nem todos os serviços da AWS oferecem suporte à autorização de etiquetas. Alguns recursos da AWS, como funções do AWS Lambda e filas do Amazon Simple Queue Service (Amazon SQS), podem ser marcados. No entanto, essas etiquetas não podem ser usadas em uma política do IAM para controlar o acesso aos recursos. Para obter uma lista de serviços da AWS que oferecem suporte à autorização baseada em etiquetas, consulte os Serviços da AWS que funcionam com o IAM.

Resolução

Se um serviço da AWS não oferecer suporte à autorização baseada em etiquetas, verifique as ações, os recursos e as chaves de condição do serviço para ver as permissões no nível do recurso e as chaves de condição compatíveis com as políticas do IAM. Alguns serviços da AWS, como Visão geral do gerenciamento de acesso no Amazon SQS e as políticas do IAM baseadas em identidade para o AWS Lambda, têm documentação que contém exemplos de políticas do IAM.

Algumas ações do Lambda, como DeleteFunction e PublishVersion, podem ser restritas a uma função específica do Lambda usando permissões no nível do recurso. Anexar esse exemplo de política do IAM a um usuário do IAM permite essas ações do Lambda, mas somente em uma única função do Lambda.
Observação: edite a política do IAM para incluir seu próprio ARN de função do Lambda.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowActionsOnSpecificFunction",
      "Effect": "Allow",
      "Action": [
        "lambda:DeleteFunction",
        "lambda:PublishVersion"
      ],
      "Resource": "arn:aws:lambda:us-west-2:123456789012:function:my-function"
    }
  ]
}

Informações relacionadas

Como posso restringir o acesso a uma sessão de função do IAM específica usando uma política baseada em identidade do IAM?

Como criar uma política do IAM para restrição baseada em etiquetas com as chaves de condição PrincipalTag, ResourceTag, RequestTag e TagKeys?

Tópicos

Segurança, identidade e conformidade

Conteúdo relevante

Como crio uma política do IAM para controlar o acesso aos recursos do Amazon EC2 usando etiquetas?
AWS OFICIALAtualizada há 4 meses
Por que minhas etiquetas no nível da pilha não estão se propagando para recursos na minha pilha do CloudFormation?
AWS OFICIALAtualizada há 2 anos
Como posso usar SCPs e políticas de etiquetas para impedir que usuários nas minhas contas-membro do AWS Organizations criem recursos?
AWS OFICIALAtualizada há 2 anos
Como faço para usar políticas baseadas em recursos com o AWS Lambda para conceder permissão a serviços da AWS?
AWS OFICIALAtualizada há 3 anos