本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Amazon Transfer Family基于标签的策略示例
以下是如何基于标签控制对Amazon Transfer Family资源的访问的访问。
使用标签控制对 Amazon Transfer Family 资源的访问
IAM 策略中的条件是所需语法的一部分,您可以使用它们指定对Amazon Transfer Family资源的权限。您可以根据资源上的标签控制对Amazon Transfer Family资源(例如用户、服务器、角色和其他实体)的访问权限。标签是键值对。有关为资源添加标签的更多信息,请参阅《Amazon一般参考》中的标记Amazon资源。
在 Amazon Transfer Family 中,资源可以具有标签,而且某些操作可以包括标签。在创建 IAM 策略时,您可以使用标签条件键来控制以下:
-
哪些用户可以基于Amazon Transfer Family资源具有的标签对资源执行操作。
-
哪些标签可以在操作的请求中传递。
-
是否特定标签键可在请求中使用。
通过使用基于标签的访问控制,您可以应用比 API 级别更精细的控制。与使用基于资源的访问控制相比,您还可以应用更多的动态控制。您可以创建 IAM 策略,以允许或拒绝根据请求中提供的标签(请求标签)执行操作。您也可以基于正在操作的资源的标签(资源标签)创建 IAM 策略。通常,资源标签适用于资源上已经存在的标签,请求标签用于在向资源添加标签或从资源中删除标签时。
有关标签条件键的完整请求和语义,请参阅《IAM 用户指南》中的使用Amazon资源标签控制资源访问。有关使用 API Gateway 指定 IAM 策略的详细信息,请参阅 API Gatewa y 开发者指南中的使用 IAM 权限控制对 API 的访问权限。
示例 1:基于资源标签拒绝操作
您可以根据标签拒绝对资源执行的操作。如果使用密钥和值标记了用户或服务器资源,则以下示例策略会拒绝TagResource
DescribeServer
、stage
、、和DescribeUser
操作prod
。UntagResource
StartServer
StopServer
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "transfer:TagResource", "transfer:UntagResource", "transfer:StartServer", "transfer:StopServer", "transfer:DescribeServer", "transfer:DescribeUser ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceTag/stage": "prod" } } } ] }
示例 2:基于资源标签允许操作
您可以允许基于标签对资源执行操作。如果使用密钥和值标记了用户或服务器资源,则以下示例策略允许TagResource
DescribeServer
、stage
、、和DescribeUser
操作prod
。UntagResource
StartServer
StopServer
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "transfer:TagResource", "transfer:UntagResource", "transfer:StartServer", "transfer:StopServer", "transfer:DescribeServer", "transfer:DescribeUser ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceTag/stage": "prod" } } } ] }
示例 3:根据请求标签拒绝创建用户或服务器
以下示例策略包含两个语句。如果标签的成本中心密钥没有值,则第一条语句会拒绝对所有资源进行CreateServer
操作。
如果标签的成本中心密钥包含除 1、2 或 3 之外的任何其他值,则第二条语句会拒绝该CreateServer
操作。
此策略允许创建或删除包含名为的密钥costcenter
和值为1
2
、或的资源3
。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "transfer:CreateServer" ], "Resource": [ "*" ], "Condition": { "Null": { "aws:RequestTag/costcenter": "true" } } }, { "Effect": "Deny", "Action": "transfer:CreateServer", "Resource": [ "*" ], "Condition": { "ForAnyValue:StringNotEquals": { "aws:RequestTag/costcenter": [ "1", "2", "3" ] } } } ] }