Amazon Transfer Family基于标签的策略示例 - Amazon Transfer Family
使用标签控制资源访问
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon Transfer Family基于标签的策略示例

以下是如何基于标签控制对Amazon Transfer Family资源的访问的访问。

使用标签控制对 Amazon Transfer Family 资源的访问

IAM 策略中的条件是所需语法的一部分,您可以使用它们指定对Amazon Transfer Family资源的权限。您可以根据资源上的标签控制对Amazon Transfer Family资源(例如用户、服务器、角色和其他实体)的访问权限。标签是键值对。有关为资源添加标签的更多信息,请参阅《Amazon一般参考》中的标记Amazon资源

在 Amazon Transfer Family 中,资源可以具有标签,而且某些操作可以包括标签。在创建 IAM 策略时,您可以使用标签条件键来控制以下:

  • 哪些用户可以基于Amazon Transfer Family资源具有的标签对资源执行操作。

  • 哪些标签可以在操作的请求中传递。

  • 是否特定标签键可在请求中使用。

通过使用基于标签的访问控制,您可以应用比 API 级别更精细的控制。与使用基于资源的访问控制相比,您还可以应用更多的动态控制。您可以创建 IAM 策略,以允许或拒绝根据请求中提供的标签(请求标签)执行操作。您也可以基于正在操作的资源的标签(资源标签)创建 IAM 策略。通常,资源标签适用于资源上已经存在的标签,请求标签用于在向资源添加标签或从资源中删除标签时。

有关标签条件键的完整请求和语义,请参阅《IAM 用户指南》中的使用Amazon资源标签控制资源访问。有关使用 API Gateway 指定 IAM 策略的详细信息,请参阅 API Gatewa y 开发者指南中的使用 IAM 权限控制对 API 的访问权限

示例 1:基于资源标签拒绝操作

您可以根据标签拒绝对资源执行的操作。如果使用密钥和值标记了用户或服务器资源,则以下示例策略会拒绝TagResourceDescribeServerstage、、和DescribeUser操作prodUntagResourceStartServerStopServer

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "transfer:TagResource",
                "transfer:UntagResource",
                "transfer:StartServer",
                "transfer:StopServer", 
                "transfer:DescribeServer",
                "transfer:DescribeUser
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/stage": "prod"
                }
            }
        }
    ]
}

示例 2:基于资源标签允许操作

您可以允许基于标签对资源执行操作。如果使用密钥和值标记了用户或服务器资源,则以下示例策略允许TagResourceDescribeServerstage、、和DescribeUser操作prodUntagResourceStartServerStopServer

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "transfer:TagResource",
                "transfer:UntagResource",
                "transfer:StartServer",
                "transfer:StopServer", 
                "transfer:DescribeServer",
                "transfer:DescribeUser                            
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/stage": "prod"
                }
            }
        }
    ]
}

示例 3:根据请求标签拒绝创建用户或服务器

以下示例策略包含两个语句。如果标签的成本中心密钥没有值,则第一条语句会拒绝对所有资源进行CreateServer操作。

如果标签的成本中心密钥包含除 1、2 或 3 之外的任何其他值,则第二条语句会拒绝该CreateServer操作。

注意

此策略允许创建或删除包含名为的密钥costcenter和值为12、或的资源3

{
    "Version": "2012-10-17",
    "Statement": [
        { 
            "Effect": "Deny",
            "Action": [
                "transfer:CreateServer"
            ],
            "Resource": [
                "*"
            ],
            "Condition": {
                "Null":  {
                    "aws:RequestTag/costcenter": "true"
                }
            }
        },
        {
            "Effect": "Deny",
            "Action": "transfer:CreateServer",
            "Resource": [
                "*"
            ],
            "Condition": {
                "ForAnyValue:StringNotEquals": {
                    "aws:RequestTag/costcenter": [
                        "1",
                        "2",
                        "3"
                    ]
                }
            }
        }           
    ]
}