适用于网络综合监测仪的 Identity and Access Management
Amazon Identity and Access Management(IAM)是一项 Amazon 服务,可帮助管理员安全地控制对 Amazon 资源的访问。IAM 管理员控制可以通过身份验证(登录)和授权(具有权限)使用网络综合监测仪资源的人员。IAM 是一项可以免费使用的 Amazon 服务。利用 IAM 的功能,可在不共享您的安全凭证的情况下允许其他用户、服务和应用程序完全使用或受限使用您的 Amazon 资源。
默认情况下,IAM 用户没有创建、查看或修改 Amazon 资源的权限。要允许 IAM 用户访问资源(例如全球网络)并执行任务,您必须:
-
创建授予用户使用所需特定资源和 API 操作的权限的 IAM 策略
-
将策略附加到 IAM 用户或用户所属的组
在将策略附加到一个用户或一组用户时,它会授权或拒绝用户对指定资源执行指定任务。
条件键
在 Condition
元素(或条件块)中,您可以指定语句生效的条件。条件元素为可选元素。您可以构建使用条件运算符(例如,等于或小于)的条件表达式,以使策略中的条件与请求中的值相匹配。有关更多信息,请参阅《Amazon Identity and Access Management 用户指南》中的 IAM JSON 策略元素:条件运算符。
如果您在一个语句中指定多个 Condition
元素,或在单个 Condition
元素中指定多个键,则 Amazon 使用逻辑 AND
运算评估它们。如果您为单个条件键指定多个值,则 Amazon 使用逻辑 OR
运算来评估条件。在授予语句的权限之前必须满足所有的条件。
在指定条件时,您也可以使用占位符变量。例如,只有在使用 IAM 用户名标记 IAM 用户时,您才能为其授予访问资源的权限。
可以将标签附加到网络综合监测仪资源或将请求中的标签传递到 Cloud WAN。要基于标签控制访问,您需要使用 aws:ResourceTag/key-name
、aws:RequestTag/key-name
或 aws:TagKeys
条件键在策略的条件元素中提供标签信息。有关更多信息,请参阅《Amazon Identity and Access Management 用户指南》中的 IAM JSON 策略元素:条件。
要查看所有 Amazon 全局条件键,请参阅《Amazon Identity and Access Management 用户指南》中的 Amazon 全局条件上下文密钥。
标记核心网络资源
标签是您或 Amazon 分配给 Amazon 资源的元数据标签。每个标签均包含一个键和一个值。对于您分配的标签,需要定义键和值。例如,您可以将键定义为 purpose
,将一个资源的值定义为 test
。标签可帮助您:
-
标识和整理您的 Amazon 资源。许多 Amazon 服务支持标记,因此,您可以将同一标签分配给来不同服务的资源,以指示这些资源是相关的。
-
控制对 Amazon 资源的访问。有关更多信息,请参阅《Amazon Identity and Access Management 用户指南》中的 使用标签控制对 Amazon 资源的访问。
删除服务相关角色
如果您不再需要使用网络综合监测仪,我们建议您删除 AWSServiceRoleForNetworkMonitor
角色。
您只有在删除监测仪后,才能删除服务相关角色。有关更多信息,请参阅删除监测仪。
您可以使用 IAM 控制台、IAM CLI 或 IAM API 删除服务相关角色。有关更多信息,请参阅 IAM 用户指南 中的删除服务相关角色。
删除 AWSServiceRoleForNetworkMonitor
后,网络综合监测仪将在创建新的监测仪时再次创建角色。