AWS Identity and Access Management
用户指南
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

AWS Direct Connect 的操作、资源和条件键

AWS Direct Connect(服务前缀:directconnect)提供以下服务特定的资源、操作和条件上下文键以在 IAM 权限策略中使用。

参考:

AWS Direct Connect 定义的操作

您可以在 Action 策略语句的 IAM 元素中指定以下操作。可以使用策略授予在 AWS 中执行操作的权限。您在策略中使用一项操作时,通常使用相同的名称允许或拒绝对 API 操作或 CLI 命令的访问。但在某些情况下,单一动作可控制对多项操作的访问。还有某些操作需要多种不同的动作。

资源列指示每个操作是否支持资源级权限。如果该列没有任何值,您必须在策略语句的 Resource 元素中指定所有资源(“*”)。如果该列包含一种资源类型,则可以在含有该操作的语句中指定该类型的 ARN。必需资源在表中以星号 (*) 表示。如果在使用该操作的语句中指定资源级权限 ARN,则它必须属于该类型。某些操作支持多种资源类型。如果资源类型是可选的(未指示为必需),则可以选择使用一种类型而不使用其他类型。

有关下表中各列的详细信息,请参阅 操作表

操作 描述 访问级别 资源类型(* 为必需) 条件键 相关操作
AcceptDirectConnectGatewayAssociationProposal 接受提议请求以将虚拟专用网关连接到 Direct Connect 网关。 写入

dx-gateway*

AllocateConnectionOnInterconnect 在互连上创建托管连接。 写入

dxcon*

AllocateHostedConnection 在 AWS Direct Connect 合作伙伴的网络和特定的 AWS Direct Connect 位置之间创建新的托管连接。 写入

dxcon

dxlag

aws:RequestTag/${TagKey}

aws:TagKeys

AllocatePrivateVirtualInterface 预置将由不同客户拥有的私有虚拟接口。 写入

dxcon

dxlag

aws:RequestTag/${TagKey}

aws:TagKeys

AllocatePublicVirtualInterface 预置将由不同客户拥有的公有虚拟接口。 写入

dxcon

dxlag

aws:RequestTag/${TagKey}

aws:TagKeys

AllocateTransitVirtualInterface 预置由不同客户拥有的中转虚拟接口。 写入

dxcon

dxlag

aws:RequestTag/${TagKey}

aws:TagKeys

AssociateConnectionWithLag 将连接与 LAG 相关联。 写入

dxcon*

dxlag*

AssociateHostedConnection 将托管的连接及其虚拟接口与链路聚合组 (LAG) 或互连相关联。 写入

dxcon*

dxcon

dxlag

AssociateVirtualInterface 将虚拟接口与指定的链路聚合组 (LAG) 或连接相关联。 写入

dxvif*

dxcon

dxlag

ConfirmConnection 确认在互连上创建托管连接。 写入

dxcon*

ConfirmPrivateVirtualInterface 接受其他客户创建的私有虚拟接口的所有权。 写入

dxvif*

ConfirmPublicVirtualInterface 接受其他客户创建的公有虚拟接口的所有权 写入

dxvif*

ConfirmTransitVirtualInterface 接受另一个客户创建的中转虚拟接口的所有权 写入

dxvif*

CreateBGPPeer 在指定的虚拟接口上创建 BGP 对等体。 写入

dxvif*

CreateConnection 在客户网络与特定 AWS Direct Connect 位置之间创建新连接。 写入

dxlag

aws:RequestTag/${TagKey}

aws:TagKeys

CreateDirectConnectGateway 创建一个 Direct Connect 网关,它是可用于连接一组虚拟接口和虚拟专用网关的中间对象。 写入
CreateDirectConnectGatewayAssociation 在 Direct Connect 网关和虚拟专用网关之间创建关联。 写入

dx-gateway*

CreateDirectConnectGatewayAssociationProposal 创建提议以将指定的虚拟专用网关与指定的 Direct Connect 网关相关联。 写入

dx-gateway*

CreateInterconnect 在 AWS Direct Connect 合作伙伴的网络与特定 AWS Direct Connect 位置之间创建新互连。 写入

dxlag

aws:RequestTag/${TagKey}

aws:TagKeys

CreateLag 创建一个链路聚合组 (LAG),它在客户网络和特定 AWS Direct Connect 位置之间具有指定数量的捆绑物理连接。 写入

dxcon

aws:RequestTag/${TagKey}

aws:TagKeys

CreatePrivateVirtualInterface 创建一个新的私有虚拟接口。 写入

dxcon

dxlag

aws:RequestTag/${TagKey}

aws:TagKeys

CreatePublicVirtualInterface 创建一个新的公有虚拟接口。 写入

dxcon

dxlag

aws:RequestTag/${TagKey}

aws:TagKeys

CreateTransitVirtualInterface 创建新的中转虚拟接口。 写入

dxcon

dxlag

aws:RequestTag/${TagKey}

aws:TagKeys

DeleteBGPPeer 删除具有指定客户地址和 ASN 的指定虚拟接口上的指定 BGP 对等体。 写入

dxvif*

DeleteConnection 删除连接。 写入

dxcon*

DeleteDirectConnectGateway 删除指定的 Direct Connect 网关。 写入

dx-gateway*

DeleteDirectConnectGatewayAssociation 删除指定的 Direct Connect 网关和虚拟专用网关之间的关联。 写入

dx-gateway*

DeleteDirectConnectGatewayAssociationProposal 删除指定的 Direct Connect 网关和虚拟专用网关之间的关联提议请求。 写入
DeleteInterconnect 删除指定的互连。 写入

dxcon*

DeleteLag 删除指定的链路聚合组 (LAG)。 写入

dxlag*

DeleteVirtualInterface 删除虚拟接口。 写入

dxvif*

DescribeConnectionLoa 返回连接的 LOA-CFA。 Read

dxcon*

DescribeConnections 显示此区域中的所有连接。 Read

dxcon

DescribeConnectionsOnInterconnect 返回给定互连中已预置的连接的列表。 Read

dxcon*

DescribeDirectConnectGatewayAssociationProposals 描述虚拟专用网关和 Direct Connect 网关之间的连接的一个或多个关联提议。 Read

dx-gateway

DescribeDirectConnectGatewayAssociations 列出 Direct Connect 网关和虚拟专用网关之间的关联。 Read

dx-gateway

DescribeDirectConnectGatewayAttachments 列出 Direct Connect 网关和虚拟接口之间的连接。 Read

dx-gateway

DescribeDirectConnectGateways 列出所有 Direct Connect 网关,或仅列出指定的 Direct Connect 网关。 Read

dx-gateway

DescribeHostedConnections 列出已在指定互连或链路聚合组 (LAG) 上预置的托管连接。 Read

dxcon

dxlag

DescribeInterconnectLoa 返回互连的 LOA-CFA。 Read

dxcon*

DescribeInterconnects 返回 AWS 账户拥有的互连的列表。 Read

dxcon

DescribeLags 描述所有链路聚合组 (LAG) 或指定的 LAG。 Read

dxlag

DescribeLoa 获取连接、互连或链路聚合组 (LAG) 的 LOA-CFA。 Read

dxcon

dxlag

DescribeLocations 返回当前 AWS 区域中的 AWS Direct Connect 位置的列表。 List
DescribeTags 描述与指定 AWS Direct Connect 资源关联的标签。 Read

dxcon

dxlag

dxvif

DescribeVirtualGateways 返回 AWS 账户拥有的虚拟专用网关的列表。 Read
DescribeVirtualInterfaces 显示 AWS 账户的所有虚拟接口。 Read

dxcon

dxlag

dxvif

DisassociateConnectionFromLag 将连接与链路聚合组 (LAG) 取消关联。 写入

dxcon*

dxlag*

TagResource 将指定的标签添加到指定的 AWS Direct Connect 资源中。每个资源最多可以有 50 个标签。 标记

dxcon

dxlag

dxvif

aws:RequestTag/${TagKey}

aws:TagKeys

UntagResource 从指定的 AWS Direct Connect 资源中删除一个或多个标签。 标记

dxcon

dxlag

dxvif

aws:TagKeys

UpdateDirectConnectGatewayAssociation 更新 Direct Connect 网关关联的指定属性。 写入
UpdateLag 更新指定链路聚合组 (LAG) 的属性。 写入

dxlag*

UpdateVirtualInterfaceAttributes 更新指定虚拟专用接口的指定属性。 写入

dxvif*

AWS Direct Connect 定义的资源

以下资源类型是由该服务定义的,可以在 IAM 权限策略语句的 Resource 元素中使用这些资源类型。操作表中的每个操作指定了可以使用该操作指定的资源类型。您也可以在策略中包含条件键,从而定义资源类型。这些键显示在表的最后一列。有关下表中各列的详细信息,请参阅 资源类型表

资源类型 ARN 条件键
dxcon arn:${Partition}:directconnect:${Region}:${Account}:dxcon/${ConnectionId}

aws:ResourceTag/${TagKey}

dxlag arn:${Partition}:directconnect:${Region}:${Account}:dxlag/${LagId}

aws:ResourceTag/${TagKey}

dxvif arn:${Partition}:directconnect:${Region}:${Account}:dxvif/${VirtualInterfaceId}

aws:ResourceTag/${TagKey}

dx-gateway arn:${Partition}:directconnect::${Account}:dx-gateway/${DirectConnectGatewayId}

AWS Direct Connect 的条件键

AWS Direct Connect 定义以下可以在 IAM 策略的 Condition 元素中使用的条件键。您可以使用这些键进一步细化应用策略语句的条件。有关下表中各列的详细信息,请参阅 条件键表

要查看适用于所有服务的全局条件键,请参阅 IAM 策略参考 中的可用的全局条件键

条件键 描述 类型
aws:RequestTag/${TagKey} 根据在请求中是否具有标签键值对以筛选操作 字符串
aws:ResourceTag/${TagKey} 根据附加到资源的标签键值对筛选操作 字符串
aws:TagKeys 根据在请求中是否具有标签键以筛选操作 字符串