Amazon基于资源的策略示例 - Amazon Direct Connect
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon基于资源的策略示例

您可以使用标签键条件控制对资源和请求的访问。您还可以在 IAM 策略中使用条件来控制是否可以在资源或请求中使用特定标签键。

有关如何将标签用于Amazon Identity and Access Management策略,请参阅使用标签控制访问中的IAM 用户指南.

基于标签关联直接 Connect 虚拟接口

以下示例显示您可以如何创建此类策略:仅当标签包含环境键和预生产或生产值时,才允许关联虚拟接口。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "directconnect:AssociateVirtualInterface" ], "Resource": "arn:aws:directconnect:*:*:dxvif/*", "Condition": { "StringEquals": { "aws:ResourceTag/environment": [ "preprod", "production" ] } } }, { "Effect": "Allow", "Action": "directconnect:DescribeVirtualInterfaces", "Resource": "*" } ] }

基于标签控制对请求的访问

您可以使用 IAM 策略中的条件,以控制可以在标记Amazon资源。以下示例显示您可以如何创建此类策略:仅当标签包含环境键和预生产或生产值时,才允许使用 Amazon Direct Connect TagResource 操作将标签附加到虚拟接口。作为最佳实践,请将 ForAllValues 修饰符与 aws:TagKeys 条件键配合使用,以指示只允许在请求中使用键环境。

{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": "directconnect:TagResource", "Resource": "arn:aws:directconnect:*:*:dxvif/*", "Condition": { "StringEquals": { "aws:RequestTag/environment": [ "preprod", "production" ] }, "ForAllValues:StringEquals": {"aws:TagKeys": "environment"} } } }

控制标签键

您可以在 IAM 策略中使用条件来控制是否可以在资源或请求中使用特定标签键。

以下示例显示如何可以创建一个策略,让您能够标记资源但仅限于标签键环境

{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": "directconnect:TagResource", "Resource": "*", "Condition": { "ForAllValues:StringEquals": { "aws:TagKeys": [ "environment" ] } } } }