AWS Direct Connect
用户指南
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

使用标签控制对 AWS Direct Connect 的访问

您可以使用标签键条件控制对资源和请求的访问。您还可以在 IAM 策略中使用条件来控制是否可以在资源或请求中使用特定标签键。

有关如何将标签与 AWS Identity and Access Management 策略结合使用的信息,请参阅 IAM 用户指南 中的使用标签控制访问

示例:控制对资源的访问

您可以在 IAM 策略中使用条件来基于 AWS 资源上的标签控制对此类资源的访问。您可以通过以下方式执行此操作:使用全局 ResourceTag/key-name 条件键或特定于服务的密钥,如 ResourceTag/key-name。您还可以使用这些条件密钥以仅允许对具有特定标签键–值对的资源取消标签。

注意

请勿在具有 iam:PassRole 操作的策略中使用 ResourceTag 条件键。您不能使用 IAM 角色上的标签来控制谁有权传递该角色。有关向服务传递角色所需的权限的更多信息,请参阅 IAM 用户指南 中的授予向 AWS 服务传递角色的用户权限

以下示例显示您可以如何创建此类策略:仅当标签包含环境键和预生产或生产值时,才允许关联虚拟接口。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "directconnect:AssociateVirtualInterface" ], "Resource": "arn:aws:directconnect:*:*:dxvif/*", "Condition": { "StringEquals": { "aws:ResourceTag/environment": [ "preprod", "production" ] } } }, { "Effect": "Allow", "Action": "directconnect:DescribeVirtualInterfaces", "Resource": "*" } ] }

示例:控制对请求的访问

您可以使用 IAM 策略中的条件,以控制可以将哪些标签–键值对传递到标记 AWS 资源的请求中。以下示例显示您可以如何创建此类策略:仅当标签包含环境键和预生产或生产值时,才允许使用 AWS Direct Connect TagResource 操作将标签附加到虚拟接口。作为最佳实践,请将 ForAllValues 修饰符与 aws:TagKeys 条件键配合使用,以指示只允许在请求中使用键环境。

{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": "directconnect:TagResource", "Resource": "arn:aws:directconnect:*:*:dxvif/*", "Condition": { "StringEquals": { "aws:RequestTag/environment": [ "preprod", "production" ] }, "ForAllValues:StringEquals": {"aws:TagKeys": "environment"} } } }

示例:控制标签键

您可以在 IAM 策略中使用条件来控制是否可以在资源或请求中使用特定标签键。

以下示例显示如何可以创建一个策略,让您能够标记资源但仅限于标签键环境

{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": "directconnect:TagResource", "Resource": "*", "Condition": { "ForAllValues:StringEquals": { "aws:TagKeys": [ "environment" ] } } } }