Eu adicionei etiquetas aos meus recursos da AWS, mas minha política do IAM não está funcionando. Quais serviços da AWS oferecem suporte a etiquetas baseadas em autorização?

Data da última atualização: 17/02/2022

Meus recursos são marcados com a chave e o valor corretos da etiqueta, mas minha política do AWS Identity and Access Management (IAM) não está avaliando as etiquetas em meus recursos.

Breve descrição

As políticas do IAM podem usar a chave de condição global aws:ResourceTag para controlar o acesso com base na chave e no valor da etiqueta do recurso. Nem todos os serviços da AWS oferecem suporte à autorização de etiquetas. Alguns recursos da AWS, como funções do AWS Lambda e filas do Amazon Simple Queue Service (Amazon SQS), podem ser marcados. No entanto, essas etiquetas não podem ser usadas em uma política do IAM para controlar o acesso aos recursos. Para obter uma lista de serviços da AWS que oferecem suporte à autorização baseada em etiquetas, consulte os Serviços da AWS que funcionam com o IAM.

Resolução

Se um serviço da AWS não oferecer suporte à autorização baseada em etiquetas, verifique as ações, os recursos e as chaves de condição do serviço para ver as permissões no nível do recurso e as chaves de condição compatíveis com as políticas do IAM. Alguns serviços da AWS, como Visão geral do gerenciamento de acesso no Amazon SQS e as políticas do IAM baseadas em identidade para o AWS Lambda, têm documentação que contém exemplos de políticas do IAM.

Algumas ações do Lambda, como DeleteFunction e PublishVersion, podem ser restritas a uma função específica do Lambda usando permissões no nível do recurso. Anexar esse exemplo de política do IAM a um usuário do IAM permite essas ações do Lambda, mas somente em uma única função do Lambda.
Observação: edite a política do IAM para incluir seu próprio ARN de função do Lambda.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowActionsOnSpecificFunction",
      "Effect": "Allow",
      "Action": [
        "lambda:DeleteFunction",
        "lambda:PublishVersion"
      ],
      "Resource": "arn:aws:lambda:us-west-2:123456789012:function:my-function"
    }
  ]
}