Amazon Transfer Family基于标签的策略示例 - Amazon Transfer Family
使用标签控制资源访问
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon Transfer Family基于标签的策略示例

以下是如何控制对Amazon Transfer Family基于标签的资源。

使用标签控制对 Amazon Transfer Family 资源的访问

IAM 策略中的条件是所需语法的一部分,您可以使用它们指定Amazon Transfer Family资源的费用。您可以控制对Amazon Transfer Family资源(如用户、服务器、角色和其他实体)。标签是键值对。有关标记资源的更多信息,请参阅标记Amazonresources中的Amazon一般参考.

在 Amazon Transfer Family 中,资源可以具有标签,而且某些操作可以包括标签。在创建 IAM 策略时,您可以使用标签条件键来控制以下内容:

  • 哪些用户可以在Amazon Transfer Family资源,基于资源具有的标签。

  • 哪些标签可以在操作的请求中传递。

  • 是否特定标签键可在请求中使用。

通过使用基于标签的访问控制,您可以应用比 API 级别更精细的控制。与使用基于资源的访问控制相比,您还可以应用更多的动态控制。您可以创建 IAM 策略,以允许或拒绝根据请求中提供的标签(请求标签)执行操作。您还可以根据正在操作的资源的标签(资源标签)创建 IAM 策略。通常,资源标签用于资源上已经存在的标签,请求标签适用于在资源中添加标签或从资源中删除标签时。

有关标签条件键的完整请求和语义,请参阅控制对 的访问Amazon使用资源标签的资源中的IAM 用户指南. 有关使用 API Gateway 指定 IAM 策略的详情,请参阅使用 IAM 权限控制对 API 的访问中的API Gateway 开发人员指南.

示例 1:基于资源标签拒绝操作

您可以拒绝基于标签对资源执行的操作。以下示例策略拒绝TagResourceUntagResourceStartServerStopServerDescribeServer, 和DescribeUser操作,如果用户或服务器资源使用密钥进行标记stage和值prod. 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "transfer:TagResource",
                "transfer:UntagResource",
                "transfer:StartServer",
                "transfer:StopServer", 
                "transfer:DescribeServer",
                "transfer:DescribeUser
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/stage": "prod"
                }
            }
        }
    ]
}

示例 2:允许基于资源标签执行操作

您可以允许基于标签对资源执行操作。以下示例策略允许TagResourceUntagResourceStartServerStopServerDescribeServer, 和DescribeUser操作,如果用户或服务器资源使用密钥进行标记stage和值prod. 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "transfer:TagResource",
                "transfer:UntagResource",
                "transfer:StartServer",
                "transfer:StopServer", 
                "transfer:DescribeServer",
                "transfer:DescribeUser                            
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/stage": "prod"
                }
            }
        }
    ]
}

示例 3:根据请求标签拒绝创建用户或服务器

以下示例策略包含两个语句。第一个语句拒绝CreateServer操作,如果标签的成本中心键没有值。

第二个语句拒绝CreateServer操作,如果标签的成本中心键包含除 1、2 或 3 之外的任何其他值。

注意

此策略允许创建或删除包含名为costcenter,值为12,或者3. 

{
    "Version": "2012-10-17",
    "Statement": [
        { 
            "Effect": "Deny",
            "Action": [
                "transfer:CreateServer"
            ],
            "Resource": [
                "*"
            ],
            "Condition": {
                "Null":  {
                    "aws:RequestTag/costcenter": "true"
                }
            }
        },
        {
            "Effect": "Deny",
            "Action": "transfer:CreateServer",
            "Resource": [
                "*"
            ],
            "Condition": {
                "ForAnyValue:StringNotEquals": {
                    "aws:RequestTag/costcenter": [
                        "1",
                        "2",
                        "3"
                    ]
                }
            }
        }           
    ]
}