AWS Direct Connect
用户指南
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 Amazon AWS 入门

使用 AWS Identity and Access Management 控制对 AWS Direct Connect 的访问

您可以使用 AWS Identity and Access Management 的功能来指定您的 AWS 账户下的用户可以执行哪些 AWS Direct Connect 操作。例如,您可以创建 IAM 策略,只向您组织中的特定用户授予相应的权限,允许他们使用 DescribeConnections 操作来检索有关您的 AWS Direct Connect 连接的数据。

使用 IAM 授予的权限涵盖您使用 AWS Direct Connect 涉及的所有 AWS 资源。您无法使用 IAM 来控制针对特定 AWS 资源的访问权限(也称为资源级权限)。例如,您无法授予用户仅针对特定虚拟接口的数据的访问权限。

AWS Direct Connect 操作

在 IAM 策略中,您可以指定 AWS Direct Connect 提供的某项或所有操作。操作名称必须包含小写字母前缀 directconnect:。例如:directconnect:DescribeConnectionsdirectconnect:CreateConnectiondirectconnect:*(针对所有 AWS Direct Connect 操作)。有关操作的列表,请参阅 AWS Direct Connect API Reference

AWS Direct Connect 资源

AWS Direct Connect 不支持资源级权限;因此,您无法控制对特定 AWS Direct Connect 资源的访问权限。当您编写策略来控制对 AWS Direct Connect 操作的访问权限时,必须使用星号 (*) 指定资源。

AWS Direct Connect 密钥

AWS Direct Connect 实施以下策略密钥:

  • aws:CurrentTime(用于日期/时间条件)

  • aws:EpochTime(用新纪元或 UINX 时间表示的日期,用于日期/时间条件)

  • aws:SecureTransport(表示请求是否使用 SSL 发送的布尔值)

  • aws:SourceIp(请求者的 IP 地址,用于 IP 地址条件)

  • aws:UserAgent(有关请求者客户端应用程序的信息,用于字符串条件)

如果您使用 aws:SourceIp,且申请来自 Amazon EC2 实例,则实例的公有 IP 地址用于决定是否允许访问。

对于仅使用 SSL 的服务(如 Amazon Relational Database Service 和 Amazon Route 53),aws:SecureTransport 键无意义。

有关更多信息,请参阅 IAM 用户指南 中的 Condition

AWS Direct Connect 示例策略

以下示例策略授予针对 AWS Direct Connect 的读取权限。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "directconnect:Describe*", "ec2:DescribeVpnGateways" ], "Resource": "*" } ] }

以下示例策略授予针对 AWS Direct Connect 的完全访问权限。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "directconnect:*", "ec2:DescribeVpnGateways" ], "Resource": "*" } ] }

有关编写 IAM 策略的更多信息,请参阅 IAM 用户指南 中的 IAM 策略