AWS Direct Connect
用户指南
AWS 服务或AWS文档中描述的功能,可能因地区/位置而异。点 击 Getting Started with Amazon AWS to see specific differences applicable to the China (Beijing) Region.

结合 AWS Direct Connect 使用 AWS Identity and Access Management

您可以结合 AWS Direct Connect 使用 AWS Identity and Access Management,以便指定您 AWS 账户下的用户可以执行哪些 AWS Direct Connect 操作。例如,您可以创建 IAM 策略,只向您组织中的特定用户授权执行 DescribeConnections 操作,来检索有关您的 AWS Direct Connect 连接的数据。

使用 IAM 授予的权限包括所有您可以结合 AWS Direct Connect 使用的 AWS 资源,因此,您无法使用 IAM 来控制针对特定资源的 AWS Direct Connect 数据的访问权限。例如,您无法仅针对特定虚拟接口授予访问 AWS Direct Connect 数据的权限。

重要

结合 IAM 使用 AWS Direct Connect 并不会改变您使用 AWS Direct Connect 的方式。AWS Direct Connect 操作没有发生变化,且没有关于用户和访问控制的新 AWS Direct Connect 操作。有关包含 AWS Direct Connect 操作策略的示例,请参阅 AWS Direct Connect 的示例策略

AWS Direct Connect 操作

在 IAM 策略中,您可以指定 AWS Direct Connect 提供的某项或所有操作。操作名称必须包含小写字母前缀 directconnect:。例如:directconnect:DescribeConnectionsdirectconnect:CreateConnectiondirectconnect:*(针对所有 AWS Direct Connect 操作)。有关操作的列表,请参阅 AWS Direct Connect API Reference

AWS Direct Connect 资源

AWS Direct Connect 不支持资源级权限;因此,您无法控制对特定 AWS Direct Connect 资源的访问权限。当您编写策略来控制对 AWS Direct Connect 操作的访问权限时,必须使用星号 (*) 指定资源。

AWS Direct Connect 密钥

AWS Direct Connect 实施以下策略密钥:

  • aws:CurrentTime(用于日期/时间条件)

  • aws:EpochTime(用新纪元或 UINX 时间表示的日期,用于日期/时间条件)

  • aws:SecureTransport(表示请求是否使用 SSL 发送的布尔值)

  • aws:SourceIp(请求者的 IP 地址,用于 IP 地址条件)

  • aws:UserAgent(有关请求者客户端应用程序的信息,用于字符串条件)

如果您使用 aws:SourceIp,且申请来自 Amazon EC2 实例,则实例的公有 IP 地址用于决定是否允许访问。

注意

对于仅使用 SSL 的服务(如 Amazon Relational Database Service 和 Amazon Route 53),aws:SecureTransport 键无意义。

密钥名称不区分大小写。例如,aws:CurrentTime 等同于 AWS:currenttime

有关策略密钥的更多信息,请参阅 IAM 用户指南 中的条件部分。

AWS Direct Connect 的示例策略

该部分显示控制用户访问 AWS Direct Connect 的简单策略。

注意

将来,根据策略陈述的目标,AWS Direct Connect 可能会添加逻辑上包含在以下策略内的新操作。

示例

以下样本策略可以使组检索到任何 AWS Direct Connect 数据,但不会创建或删除任何资源。

Copy
{ "Statement": [ { "Effect": "Allow", "Action": [ "directconnect:Describe*" ], "Resource": "*" } ] }

有关编写 IAM 策略的详细信息,请参阅 IAM 用户指南 中的 IAM 策略概览