资源:通过作业定义和作业队列上的资源标签限制作业提交 - AWS Batch

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

资源:通过作业定义和作业队列上的资源标签限制作业提交

只有在作业队列都有标签Environment=dev且作业定义都有标签时,才使用以下策略提交作业Project=calc。此策略演示了如何在提交作业期间使用资源标签来控制对 AWS Batch 资源的访问权限。

重要

使用评估作业定义资源标签的策略提交作业时,必须使用作业定义修订格式(job-definition:revision)提交作业。如果您在未指定修订版本的情况下提交作业,则不会评估作业定义标签,这可能会绕过您预期的访问控制。资源 ARN 中的*:*模式强制要求提交内容必须包含修订版,从而确保标签策略始终得到有效应用。

此策略使用两个单独的语句,因为它对不同的资源类型应用不同的标签条件。在限定作业提交的资源级访问时,必须同时提供作业队列和作业定义资源类型。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "batch:SubmitJob",
      "Resource": "arn:aws:batch:*:*:job-queue/*",
      "Condition": {
        "StringEquals": {
          "aws:ResourceTag/Environment": "dev"
        }
      }
    },
    {
      "Effect": "Allow",
      "Action": "batch:SubmitJob",
      "Resource": "arn:aws:batch:*:*:job-definition/*:*",
      "Condition": {
        "StringEquals": {
          "aws:ResourceTag/Project": "calc"
        }
      }
    }
  ]
}