Esempi di policy della chiave di contesto a valore singolo - AWS Identity and Access Management
Esempio: più blocchi di condizioni con chiavi di contesto a valore singoloEsempio: un blocco di condizioni con più chiavi di contesto a valore singolo

Esempi di policy della chiave di contesto a valore singolo

La seguente serie di esempi di policy mostra come creare condizioni nella policy con chiavi di contesto a valore singolo.

Esempio: più blocchi di condizioni con chiavi di contesto a valore singolo

Quando un blocco di condizioni contiene più condizioni, ognuna con una singola chiave di contesto, tutte le chiavi di contesto devono risolversi in true per l'effetto Allow o Deny che si desidera richiamare. Quando si utilizzano operatori per la condizione di corrispondenza negata, la logica di valutazione del valore della condizione viene invertita.

Il seguente esempio consente agli utenti di creare volumi EC2 e applicare tag a tali volumi durante la creazione del volume. Il contesto della richiesta deve includere un valore per la chiave di contesto aws:RequestTag/project e il valore della chiave di contesto aws:ResourceTag/environment può essere qualsiasi cosa tranne la produzione.

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "ec2:CreateVolume",
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": "ec2:CreateTags",
      "Resource": "arn:aws:ec2:us-east-1:123456789012:volume/*",
      "Condition": {
        "StringLike": {
          "aws:RequestTag/project": "*"
        }
      }
    },
    {
      "Effect": "Allow",
      "Action": "ec2:CreateTags",
      "Resource": "arn:aws:ec2:us-east-1:123456789012:*/*",
      "Condition": {
        "StringNotEquals": {
          "aws:ResourceTag/environment": "production"
        }
      }
    }
  ]
}

Il contesto della richiesta deve includere un tag-valore del progetto e non può essere creato affinché una risorsa di produzione richiami l'effetto Allow. Il seguente volume EC2 è stato creato correttamente perché il nome del progetto è Feature3 con un tag della risorsa QA.

aws ec2 create-volume \
    --availability-zone us-east-1a \
    --volume-type gp2 \
    --size 80 \
    --tag-specifications 'ResourceType=volume,Tags=[{Key=project,Value=Feature3},{Key=environment,Value=QA}]'

Esempio: un blocco di condizioni con più chiavi di contesto a valore singolo

Quando un blocco di condizioni contiene più chiavi di contesto e ogni chiave di contesto ha valori multipli, ogni chiave di contesto deve risolversi in true in almeno un valore chiave per l'effetto Allow o Deny che si desidera richiamare. Quando si utilizzano operatori per la condizione di corrispondenza negata, la logica di valutazione del valore della chiave di contesto viene invertita.

L'esempio seguente consente agli utenti di avviare ed eseguire attività sui cluster Amazon Elastic Container Service.

  • Il contesto della richiesta deve includereproduction O prod-backup per la aws:RequestTag/environment chiave di contesto E.

  • La chiave di contesto ecs:cluster assicura che le attività vengano eseguite su entrambi i cluster default1 O default2 ARN ECS.

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "ecs:RunTask",
        "ecs:StartTask"
      ],
      "Resource": [
        "*"
      ],
      "Condition": {
        "StringEquals": {
          "aws:RequestTag/environment": [
            "production",
            "prod-backup"
          ]
        },
        "ArnEquals": {
          "ecs:cluster": [
            "arn:aws:ecs:us-east-1:111122223333:cluster/default1",
            "arn:aws:ecs:us-east-1:111122223333:cluster/default2"
          ]
        }
      }
    }
  ]
}

La tabella seguente mostra come AWS valuta questa policy in base ai valori della chiave di condizione nella richiesta.

Condizione della policy Contesto della richiesta Risultato 
"StringEquals": {
  "aws:RequestTag/environment": [
    "production",
    "prod-backup"
  ]
},
"ArnEquals": {
  "ecs:cluster": [
    "arn:aws:ecs:us-east-1:111122223333:cluster/default1",
    "arn:aws:ecs:us-east-1:111122223333:cluster/default2"
  ]
}
 
aws:RequestTag: environment:production
ecs:cluster:
  arn:aws:ecs:us-east-1:111122223333:cluster/default1

Match

 
"StringEquals": {
  "aws:RequestTag/environment": [
    "production",
    "prod-backup"
  ]
},
"ArnEquals": {
  "ecs:cluster": [
    "arn:aws:ecs:us-east-1:111122223333:cluster/default1",
    "arn:aws:ecs:us-east-1:111122223333:cluster/default2"
  ]
}
 
aws:RequestTag: environment:prod-backup
ecs:cluster:
  arn:aws:ecs:us-east-1:111122223333:cluster/default2

Match

 
"StringEquals": {
  "aws:RequestTag/environment": [
    "production",
    "prod-backup"
  ]
},
"ArnEquals": {
  "ecs:cluster": [
    "arn:aws:ecs:us-east-1:111122223333:cluster/default1",
    "arn:aws:ecs:us-east-1:111122223333:cluster/default2"
  ]
}
 
aws:RequestTag: webserver:production
ecs:cluster:
  arn:aws:ecs:us-east-1:111122223333:cluster/default2

Nessuna corrispondenza

 
"StringEquals": {
  "aws:RequestTag/environment": [
    "production",
    "prod-backup"
  ]
},
"ArnEquals": {
  "ecs:cluster": [
    "arn:aws:ecs:us-east-1:111122223333:cluster/default1",
    "arn:aws:ecs:us-east-1:111122223333:cluster/default2"
  ]
}

aws:RequestTag non è presente nel contesto della richiesta.

ecs:cluster
  arn:aws:ecs:us-east-1:111122223333:cluster/default2

Nessuna corrispondenza