AWS Direct Connect
用户指南
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

AWS Direct Connect 基于资源的策略示例

您可以使用标签键条件控制对资源和请求的访问。您还可以在 IAM 策略中使用条件来控制是否可以在资源或请求中使用特定标签键。

有关如何将标签与 AWS Identity and Access Management 策略结合使用的信息,请参阅 IAM 用户指南 中的使用标签控制访问

基于标签关联 Direct Connect 虚拟接口

以下示例显示您可以如何创建此类策略:仅当标签包含环境键和预生产或生产值时,才允许关联虚拟接口。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "directconnect:AssociateVirtualInterface" ], "Resource": "arn:aws:directconnect:*:*:dxvif/*", "Condition": { "StringEquals": { "aws:ResourceTag/environment": [ "preprod", "production" ] } } }, { "Effect": "Allow", "Action": "directconnect:DescribeVirtualInterfaces", "Resource": "*" } ] }

基于标签控制对请求的访问

您可以使用 IAM 策略中的条件,以控制可以将哪些标签–键值对传递到标记 AWS 资源的请求中。以下示例显示您可以如何创建此类策略:仅当标签包含环境键和预生产或生产值时,才允许使用 AWS Direct Connect TagResource 操作将标签附加到虚拟接口。作为最佳实践,请将 ForAllValues 修饰符与 aws:TagKeys 条件键配合使用,以指示只允许在请求中使用键环境。

{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": "directconnect:TagResource", "Resource": "arn:aws:directconnect:*:*:dxvif/*", "Condition": { "StringEquals": { "aws:RequestTag/environment": [ "preprod", "production" ] }, "ForAllValues:StringEquals": {"aws:TagKeys": "environment"} } } }

控制标签键

您可以在 IAM 策略中使用条件来控制是否可以在资源或请求中使用特定标签键。

以下示例显示如何可以创建一个策略,让您能够标记资源但仅限于标签键环境

{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": "directconnect:TagResource", "Resource": "*", "Condition": { "ForAllValues:StringEquals": { "aws:TagKeys": [ "environment" ] } } } }