He agregado etiquetas a mis recursos de AWS, pero mi política de IAM no funciona. ¿Qué servicios de AWS son compatibles con etiquetas basadas en autorizaciones?

2 minutos de lectura

Mis recursos están etiquetados con la clave y el valor de etiqueta correctos, pero mi política de AWS Identity and Access Management (IAM) no evalúa las etiquetas de mis recursos.

Descripción corta

Las políticas de IAM pueden usar la clave de condición global aws:ResourceTag para controlar el acceso basado en la clave y el valor de la etiqueta del recurso. No todos los servicios de AWS son compatibles con la autorización de etiquetas. Algunos recursos de AWS, como las funciones de AWS Lambda y las colas de Amazon Simple Queue Service (Amazon SQS), se pueden etiquetar. Sin embargo, estas etiquetas no se pueden usar en una política de IAM para controlar el acceso a los recursos. Para obtener una lista de los servicios de AWS compatibles con la autorización basada en etiquetas, consulte Servicios de AWS compatibles con IAM.

Resolución

Si un servicio de AWS no es compatible con la autorización basada en etiquetas, compruebe las acciones, recursos y claves de condición del servicio para ver los permisos a nivel de recurso y las claves de condición compatibles con las políticas de IAM. Algunos servicios de AWS, como Información general sobre la administración del acceso en Amazon SQS y Políticas de IAM basadas en identidad para AWS Lambda, disponen de documentación que contiene ejemplos de políticas de IAM.

Algunas acciones de Lambda, como DeleteFunction y PublishVersion, pueden restringirse a una función Lambda específica mediante el uso de permisos a nivel de recursos. Adjuntar esta política de IAM de ejemplo a un usuario IAM permite estas acciones Lambda, pero solo en una función Lambda determinada.
Nota: Edite la política de IAM para incluir su propio ARN de función Lambda.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowActionsOnSpecificFunction",
      "Effect": "Allow",
      "Action": [
        "lambda:DeleteFunction",
        "lambda:PublishVersion"
      ],
      "Resource": "arn:aws:lambda:us-west-2:123456789012:function:my-function"
    }
  ]
}

Información relacionada

¿Cómo puedo restringir el acceso a una sesión de rol de IAM específica mediante una política basada en identidad de IAM?

¿Cómo puedo crear una política de IAM para una restricción basada en etiquetas con las claves de condición PrincipalTag, ResourceTag, RequestTag y TagKeys?

Temas

Seguridad, identidad y cumplimiento

Etiquetas

AWS Identity and Access Management

Idioma

Español

OFICIAL DE AWSActualizada hace 2 años

Contenido relevante

¿Cómo puedo utilizar las SCP y las políticas de etiquetas para evitar que los usuarios de mis cuentas de miembros de AWS Organizations creen recursos?
OFICIAL DE AWSActualizada hace 2 años
¿Cómo puedo crear una política de IAM para la restricción basada en etiquetas con las claves de condición PrincipalTag, ResourceTag, RequestTag y TagKeys?
OFICIAL DE AWSActualizada hace un año
¿Cómo puedo crear una política de IAM para controlar el acceso a los recursos de Amazon EC2 mediante etiquetas?
OFICIAL DE AWSActualizada hace 4 meses
¿Cómo creo instancias de Amazon EC2 a través de CloudFormation si la política de IAM para RunInstances tiene restricciones basadas en etiquetas?
OFICIAL DE AWSActualizada hace un año