用于组织治理的 IAM 条件密钥 - Amazon Transfer Family
可用的条件键支持的操作SCP 策略示例
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

用于组织治理的 IAM 条件密钥

Amazon Transfer Family 提供了 IAM 条件密钥,允许您在任何 IAM 策略中限制资源配置。这些条件密钥可用于附加到用户或角色的基于身份的策略,或用于组织治理的服务控制策略 (SCPs)。

服务控制策略是适用于整个 Amazon 组织的 IAM 策略,为多个账户提供预防性护栏。在中使用这些条件密钥时 SCPs,有助于在整个组织范围内强制执行安全与合规性要求。

另请参阅

可用的条件键

Amazon Transfer Family 支持在 IAM 策略中使用以下条件键:

transfer:RequestServerEndpointType

根据终端节点类型(公共、VPC、VPC_ENDPOINT)限制服务器的创建和更新。通常用于阻止面向公众的端点。

transfer:RequestServerProtocols

根据支持的协议(SFTP、FTPS、FTP 等)限制服务器的创建和更新。 AS2

transfer:RequestServerDomain

根据域类型(S3、EFS)限制服务器的创建。

transfer:RequestConnectorProtocol

根据协议(AS2、SFTP)限制连接器的创建。

支持的操作

条件键可以应用于以下 Amazon Transfer Family 操作:

  • CreateServer: 支持RequestServerEndpointTypeRequestServerProtocols、和RequestServerDomain条件键

  • UpdateServer: 支撑键RequestServerEndpointTypeRequestServerProtocols条件键

  • CreateConnector: 支持RequestConnectorProtocol条件键

SCP 策略示例

以下示例 SCP 阻止在整个组织中创建公共 Amazon Transfer Family 服务器:

{
    "Version": "2012-10-17",
    "Statement": [{
        "Sid": "DenyPublicTransferServers",
        "Effect": "Deny",
        "Action": ["transfer:CreateServer", "transfer:UpdateServer"],
        "Resource": "*",
        "Condition": {
            "StringEquals": {
                "transfer:RequestServerEndpointType": "PUBLIC"
            }
        }
    }]
}