Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Ressource : Restreindre la soumission des tâches par des balises de ressource sur la définition des tâches et dans la file d'attente des tâches
Utilisez la politique suivante pour soumettre des tâches uniquement lorsque la file d'attente de tâches possède la balise Environment=dev et que la définition de tâche possède la baliseProject=calc. Cette politique explique comment utiliser les balises de ressources pour contrôler l'accès aux AWS Batch ressources lors de la soumission des tâches.
Important
Lorsque vous soumettez des tâches avec des politiques qui évaluent les balises de ressources de définition de tâche, vous devez soumettre des tâches en utilisant le format de révision des définitions de tâches (job-definition:revision). Si vous soumettez des tâches sans spécifier de révision, les balises de définition des tâches ne seront pas évaluées, ce qui peut contourner les contrôles d'accès prévus. Le *:* modèle de l'ARN de la ressource impose que les soumissions doivent inclure une révision, afin de garantir que les politiques relatives aux balises sont toujours appliquées efficacement.
Cette politique utilise deux instructions distinctes car elle applique des conditions de balise différentes aux différents types de ressources. Lors de la restriction de l'accès au niveau des ressources pour la soumission de tâche, vous devez fournir des types de ressources de file d'attente de tâches et de définition de tâche.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "batch:SubmitJob", "Resource": "arn:aws:batch:*:*:job-queue/*", "Condition": { "StringEquals": { "aws:ResourceTag/Environment": "dev" } } }, { "Effect": "Allow", "Action": "batch:SubmitJob", "Resource": "arn:aws:batch:*:*:job-definition/*:*", "Condition": { "StringEquals": { "aws:ResourceTag/Project": "calc" } } } ] }
