Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Recurso: restricción del envío de un trabajo según el usuario de POSIX, la imagen de Docker el nivel de privilegios y el rol en el envío del trabajo
<a name="iam-example-job-def"></a>

La siguiente política permite a un usuario POSIX administrar su propio conjunto de definiciones de trabajo restringidas.

Utilice la primera y la segunda sentencia para registrar y anular el registro de cualquier nombre de definición de trabajo cuyo nombre lleve el prefijo. *JobDefA\$1*

La primera instrucción también utiliza claves de contexto de condición para restringir los valores de usuario de POSIX, estado de privilegio e imagen de contenedor en las `containerProperties` de una definición de trabajo. Para obtener más información, consulta [RegisterJobDefinition](https://docs.aws.amazon.com/batch/latest/APIReference/API_RegisterJobDefinition.html) en la *AWS Batch Referencia de la API de *. En este ejemplo, las definiciones de trabajo solo se pueden registrar cuando el usuario POSIX está configurado en `nobody`. El indicador privilegiado está establecido en `false`. Por ejemplo, el siguiente comando muestra las herramientas `myImage` de un repositorio de Amazon ECR.

**importante**  
Docker resuelve el parámetro `user` de ese usuario `uid` desde la imagen del contenedor. En la mayoría de los casos, se encuentra en el archivo `/etc/passwd` de la imagen del contenedor. Esta resolución de nombres se puede evitar si usan valores de `uid` directos tanto en la definición de trabajo como en las políticas de IAM asociadas. Tanto las operaciones de API de AWS Batch como las claves condicionales de IAM `batch:User` admiten valores numéricos.

Uso de la tercera instrucción para restringir únicamente un rol específico a una definición de trabajo.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "batch:RegisterJobDefinition"
            ],
            "Resource": [
                "arn:aws:batch:us-east-2:999999999999:job-definition/JobDefA_*"
            ],
            "Condition": {
                "StringEquals": {
                    "batch:User": [
                        "nobody"
                    ],
                    "batch:Image": [
                        "999999999999.dkr.ecr.us-east-2.amazonaws.com/myImage"
                    ]
                },
                "Bool": {
                    "batch:Privileged": "false"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "batch:DeregisterJobDefinition"
            ],
            "Resource": [
                "arn:aws:batch:us-east-2:999999999999:job-definition/JobDefA_*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:PassRole"
            ],
            "Resource": [
                "arn:aws:iam::999999999999:role/MyBatchJobRole"
            ]
        }
    ]
}
```

------