Amazon Direct Connect 的操作、资源和条件键 - 服务授权参考
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

Amazon Direct Connect 的操作、资源和条件键

Amazon Direct Connect(服务前缀:directconnect)提供以下服务特定的资源、操作和条件上下文键以在 IAM 权限策略中使用。

参考:

Amazon Direct Connect 定义的操作

您可以在 IAM policy 语句的 Action 元素中指定以下操作。可以使用策略授予在 Amazon 中执行操作的权限。您在策略中使用一项操作时,通常使用相同的名称允许或拒绝对 API 操作或 CLI 命令的访问。但在某些情况下,单一动作可控制对多项操作的访问。还有某些操作需要多种不同的动作。

操作表的资源类型列指示每项操作是否支持资源级权限。如果该列没有任何值,您必须在策略语句的 Resource 元素中指定策略应用的所有资源(“*”)。通过在 IAM policy 中使用条件来筛选访问权限,以控制是否可以在资源或请求中使用特定标签键。如果操作具有一个或多个必需资源,则调用方必须具有使用这些资源来使用该操作的权限。必需资源在表中以星号 (*) 表示。如果您在 IAM policy 中使用 Resource 元素限制资源访问权限,则必须为每种必需的资源类型添加 ARN 或模式。某些操作支持多种资源类型。如果资源类型是可选的(未指示为必需),则可以选择使用一种可选资源类型。

操作表的条件键列包括可以在策略语句的 Condition 元素中指定的键。有关与服务资源关联的条件键的更多信息,请参阅资源类型表的条件键列。

有关下表中各列的详细信息,请参阅操作表

操作 描述 访问级别 资源类型(* 为必需) 条件键 相关操作
AcceptDirectConnectGatewayAssociationProposal 授予权限以接受提议请求以将虚拟私有网关连接到 Direct Connect 网关 Write

dx-gateway*

AllocateConnectionOnInterconnect 授予权限以在互连上创建托管连接 Write

dxcon*

AllocateHostedConnection 授予权限以在 Amazon Direct Connect 合作伙伴的网络与特定的 Amazon Direct Connect 位置之间创建新的托管连接 Write

dxcon

dxlag

aws:RequestTag/${TagKey}

aws:TagKeys

AllocatePrivateVirtualInterface 授予权限以预置将由不同客户拥有的私有虚拟接口 Write

dxcon

dxlag

aws:RequestTag/${TagKey}

aws:TagKeys

AllocatePublicVirtualInterface 授予权限以预置将由不同客户拥有的公有虚拟接口 Write

dxcon

dxlag

aws:RequestTag/${TagKey}

aws:TagKeys

AllocateTransitVirtualInterface 授予权限以预置将由不同客户拥有的中转虚拟接口 Write

dxcon

dxlag

aws:RequestTag/${TagKey}

aws:TagKeys

AssociateConnectionWithLag 授予将连接与 LAG 关联的权限 Write

dxcon*

dxlag*

AssociateHostedConnection 授予权限以将托管的连接及其虚拟接口与链路聚合组 (LAG) 或互连相关联 Write

dxcon*

dxcon

dxlag

AssociateMacSecKey 授予将 MAC 安全 (MACsec) 连接密钥名称 (CKN)/连接关联密钥 (CAK) 对与 Amazon Direct Connect 专用连接相关联的权限 Write

dxcon

dxlag

AssociateVirtualInterface 授予权限以将虚拟接口与指定的链路聚合组 (LAG) 或连接相关联 Write

dxvif*

dxcon

dxlag

ConfirmConnection 授予权限以确认在互连上创建托管连接 Write

dxcon*

ConfirmCustomerAgreement 授予权限以在创建连接或链路聚合组 (LAG) 时确认协议条款 Write
ConfirmPrivateVirtualInterface 授予权限以接受其他客户创建的私有虚拟接口的所有权 Write

dxvif*

ConfirmPublicVirtualInterface 授予权限以接受其他客户创建的公有虚拟接口的所有权 Write

dxvif*

ConfirmTransitVirtualInterface 授予权限以接受其他客户创建的中转虚拟接口的所有权 Write

dxvif*

CreateBGPPeer 授予权限以在指定的虚拟接口上创建 BGP 对等体 Write

dxvif*

CreateConnection 授予权限以在客户网络与特定 Amazon Direct Connect 位置之间创建新连接 Write

dxlag

aws:RequestTag/${TagKey}

aws:TagKeys

CreateDirectConnectGateway 授予权限以创建一个 Direct Connect 网关,它是可用于连接一组虚拟接口和虚拟专用网关的中间对象 Write
CreateDirectConnectGatewayAssociation 授予权限以在 Direct Connect 网关和虚拟私有网关之间创建关联 Write

dx-gateway*

CreateDirectConnectGatewayAssociationProposal 授予创建提议以将指定的虚拟私有网关与指定的 Direct Connect 网关相关联的权限 Write

dx-gateway*

CreateInterconnect 授予权限以在 Amazon Direct Connect 合作伙伴网络与特定 Amazon Direct Connect 位置之间创建新互连 Write

dxlag

aws:RequestTag/${TagKey}

aws:TagKeys

CreateLag 授予权限以创建一个链路聚合组 (LAG),它在客户网络和特定 Amazon Direct Connect 位置之间具有指定数量的捆绑物理连接 Write

dxcon

aws:RequestTag/${TagKey}

aws:TagKeys

CreatePrivateVirtualInterface 授予权限以创建新的私有虚拟接口 Write

dxcon

dxlag

aws:RequestTag/${TagKey}

aws:TagKeys

CreatePublicVirtualInterface 授予权限以创建新的公有虚拟接口 Write

dxcon

dxlag

aws:RequestTag/${TagKey}

aws:TagKeys

CreateTransitVirtualInterface 授予权限以创建新的中转虚拟接口 Write

dxcon

dxlag

aws:RequestTag/${TagKey}

aws:TagKeys

DeleteBGPPeer 授予权限以删除具有指定客户地址和 ASN 的指定虚拟接口上的指定 BGP 对等体 Write

dxvif*

DeleteConnection 授予权限以删除连接 Write

dxcon*

DeleteDirectConnectGateway 授予删除指定 Direct Connect 网关的权限 Write

dx-gateway*

DeleteDirectConnectGatewayAssociation 授予权限以删除指定的 Direct Connect 网关和虚拟私有网关之间的关联 Write

dx-gateway*

DeleteDirectConnectGatewayAssociationProposal 授予权限以删除指定的 Direct Connect 网关和虚拟私有网关之间的关联提议请求 Write
DeleteInterconnect 授予删除指定互连的权限 Write

dxcon*

DeleteLag 授予删除指定的链接聚合组 (LAG) 的权限 Write

dxlag*

DeleteVirtualInterface 授予删除虚拟接口的权限 Write

dxvif*

DescribeConnectionLoa 授予权限以描述连接的 LOA-CFA Read

dxcon*

DescribeConnections 授予权限以描述此区域中的所有连接 Read

dxcon

DescribeConnectionsOnInterconnect 授予权限以描述给定互连中已预置的连接的列表。 Read

dxcon*

DescribeCustomerMetadata 授予查看客户协议列表及其签署状态以及客户是 NNIPartner、NNIPartnerV2 还是 nonPartner 的权限 Read
DescribeDirectConnectGatewayAssociationProposals 授予权限以描述虚拟私有网关和 Direct Connect 网关之间的连接的一个或多个关联提议。 Read

dx-gateway

DescribeDirectConnectGatewayAssociations 授予权限以描述 Direct Connect 网关和虚拟私有网关之间的关联 Read

dx-gateway

DescribeDirectConnectGatewayAttachments 授予权限以描述 Direct Connect 网关和虚拟接口之间的连接 Read

dx-gateway

DescribeDirectConnectGateways 授予权限以描述所有 Direct Connect 网关,或仅描述指定的 Direct Connect 网关 Read

dx-gateway

DescribeHostedConnections 授予权限以描述已在指定互连或链路聚合组上预置的托管连接 Read

dxcon

dxlag

DescribeInterconnectLoa 授予权限以描述互连的 LOA-CFA Read

dxcon*

DescribeInterconnects 授予权限以描述 Amazon Web Services 账户 拥有的互连列表 Read

dxcon

DescribeLags 授予权限以描述所有的链接聚合组 (LAG) 或指定的 LAG Read

dxlag

DescribeLoa 授予权限以描述连接、互连或链路聚合组 (LAG) 的 LOA-CFA Read

dxcon

dxlag

DescribeLocations 授予权限以描述当前Amazon区域中 Amazon Direct Connect 位置的列表 Read
DescribeRouterConfiguration 授予权限以描述虚拟接口路由器的详细信息 Read

dxvif*

DescribeTags 授予权限以描述与指定 Amazon Direct Connect 资源关联的标签 Read

dxcon

dxlag

dxvif

DescribeVirtualGateways 授予权限以描述 Amazon Web Services 账户 拥有的虚拟私有网关的列表 Read
DescribeVirtualInterfaces 授予权限以描述 Amazon Web Services 账户 的所有虚拟接口 Read

dxcon

dxlag

dxvif

DisassociateConnectionFromLag 授予权限以取消连接与链路聚合组 (LAG) 的关联 Write

dxcon*

dxlag*

DisassociateMacSecKey 授予移除 MAC Security (MACsec) 安全密钥和 Amazon Direct Connect 专用连接之间的关联的权限 Write

dxcon

dxlag

ListVirtualInterfaceTestHistory 授予权限以列出虚拟接口故障转移测试历史记录 List

dxvif*

StartBgpFailoverTest 授予权限以启动虚拟接口故障转移测试,此测试通过将 BGP 对等会话置于“关闭”状态,验证您的配置是否符合弹性要求。然后,您可以发送流量以便验证是否出现中断情况 Write

dxvif*

StopBgpFailoverTest 授予权限以停止虚拟接口故障转移测试 Write

dxvif*

TagResource 授予权限以将指定标签添加到指定的 Amazon Direct Connect 资源。每个资源最多可以有 50 个标签 Tagging

dxcon

dxlag

dxvif

aws:RequestTag/${TagKey}

aws:TagKeys

UntagResource 授予从指定 Amazon Direct Connect 资源中删除一个或多个标签的权限 Tagging

dxcon

dxlag

dxvif

aws:TagKeys

UpdateConnection 授予权限以更新 Amazon Direct Connect 专用连接配置。您可以更新连接的以下参数:连接名称或连接的 MAC 安全性 (MacSec) 加密模式 Write

dxcon*

UpdateDirectConnectGateway 授予权限以更新 Direct Connect 网关的名称 Write

dx-gateway*

UpdateDirectConnectGatewayAssociation 授予权限以更新 Direct Connect 网关关联的指定属性 Write
UpdateLag 授予权限以更新指定链路聚合组 (LAG) 的属性 Write

dxlag*

UpdateVirtualInterfaceAttributes 授予权限以更新指定虚拟私有接口的指定属性 Write

dxvif*

Amazon Direct Connect 定义的资源类型

以下资源类型是由该服务定义的,可以在 IAM 权限策略语句的 Resource 元素中使用这些资源类型。操作表中的每个操作指定了可以使用该操作指定的资源类型。您也可以在策略中包含条件键,从而定义资源类型。这些键显示在资源类型表的最后一列。有关下表中各列的详细信息,请参阅资源类型表

资源类型 ARN 条件键
dxcon arn:${Partition}:directconnect:${Region}:${Account}:dxcon/${ConnectionId}

aws:ResourceTag/${TagKey}

dxlag arn:${Partition}:directconnect:${Region}:${Account}:dxlag/${LagId}

aws:ResourceTag/${TagKey}

dxvif arn:${Partition}:directconnect:${Region}:${Account}:dxvif/${VirtualInterfaceId}

aws:ResourceTag/${TagKey}

dx-gateway arn:${Partition}:directconnect::${Account}:dx-gateway/${DirectConnectGatewayId}

Amazon Direct Connect 的条件键

Amazon Direct Connect 定义以下可以在 IAM policy 的 Condition 元素中使用的条件键。您可以使用这些键进一步细化应用策略语句的条件。有关下表中各列的详细信息,请参阅条件键表

要查看适用于所有服务的全局条件键,请参阅可用的全局条件键

条件键 描述 类型
aws:RequestTag/${TagKey} 根据在请求中是否具有标签键值对来按照操作筛选访问权限 字符串
aws:ResourceTag/${TagKey} 根据附加到资源的标签键值对来按操作筛选访问权限 字符串
aws:TagKeys 根据在请求中是否具有标签键来按操作筛选访问权限 字符串