Direct Connect 基于身份的策略示例(使用基于标签的条件) - Amazon Direct Connect
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Direct Connect 基于身份的策略示例(使用基于标签的条件)

您可以使用标签键条件控制对资源和请求的访问。您还可以在 IAM policy 中使用条件来控制是否可以在资源或请求中使用特定标签键。

有关如何在 IAM 策略中使用标签的信息,请参阅《IAM 用户指南》中的使用标签控制访问

基于标签关联 Direct Connect 虚拟接口

以下示例显示您可以如何创建此类策略:仅当标签包含环境键和预生产或生产值时,才允许关联虚拟接口。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "directconnect:AssociateVirtualInterface" ], "Resource": "arn:aws:directconnect:*:*:dxvif/*", "Condition": { "StringEquals": { "aws:ResourceTag/environment": [ "preprod", "production" ] } } }, { "Effect": "Allow", "Action": "directconnect:DescribeVirtualInterfaces", "Resource": "*" } ] }

基于标签控制对请求的访问

您可以在 IAM 策略中使用条件,来控制可以在标记 Amazon 资源的请求中传递哪些标记键值对。以下示例显示了如何创建策略,该策略仅在标签包含环境密钥以及预生产值或生产值时才允许使用Amazon Direct Connect TagResource 操作将标签附加到虚拟接口。作为最佳实践,请将 ForAllValues 修饰符与 aws:TagKeys 条件键配合使用,以指示只允许在请求中使用键环境。

{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": "directconnect:TagResource", "Resource": "arn:aws:directconnect:*:*:dxvif/*", "Condition": { "StringEquals": { "aws:RequestTag/environment": [ "preprod", "production" ] }, "ForAllValues:StringEquals": {"aws:TagKeys": "environment"} } } }

控制标签键

您可以在 IAM policy 中使用条件来控制是否可以在资源或请求中使用特定标签键。

以下示例显示如何可以创建一个策略,让您能够标记资源但仅限于标签键环境

{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": "directconnect:TagResource", "Resource": "*", "Condition": { "ForAllValues:StringEquals": { "aws:TagKeys": [ "environment" ] } } } }