本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 用于组织治理的 IAM 条件密钥
<a name="transfer-condition-keys"></a>

Amazon Transfer Family 提供了 IAM 条件密钥，允许您在任何 IAM 策略中限制资源配置。这些条件密钥可用于附加到用户或角色的基于身份的策略，或用于组织治理的服务控制策略 (SCP)。

服务控制策略是适用于整个 Amazon 组织的 IAM 策略，为多个账户提供预防性护栏。在 SCP 中使用时，这些条件密钥有助于在整个组织范围内强制执行安全与合规性要求。

**另请参阅**
+ [Transfer Family 的操作、资源和条件密钥](https://docs.amazonaws.cn/service-authorization/latest/reference/list_awstransferfamily.html)
+ [服务控制策略 (SCP)](https://docs.amazonaws.cn/organizations/latest/userguide/orgs_manage_policies_scps.html)

## 可用条件键
<a name="scp-condition-keys"></a>

Amazon Transfer Family 支持在 IAM 策略中使用以下条件键：

`transfer:RequestServerEndpointType`  
根据终端节点类型（公共、VPC、VPC\_ENDPOINT）限制服务器的创建和更新。通常用于阻止面向公众的端点。

`transfer:RequestServerProtocols`  
根据支持的协议（SFTP、FTPS、FTP、AS2）限制服务器的创建和更新。

`transfer:RequestServerDomain`  
根据域类型（S3、EFS）限制服务器的创建。

`transfer:RequestConnectorProtocol`  
根据协议（AS2、SFTP）限制连接器的创建。

## 支持的操作
<a name="scp-supported-actions"></a>

条件键可以应用于以下 Amazon Transfer Family 操作：
+ `CreateServer`: 支持`RequestServerEndpointType``RequestServerProtocols`、和`RequestServerDomain`条件键
+ `UpdateServer`: 支撑键`RequestServerEndpointType`和`RequestServerProtocols`条件键
+ `CreateConnector`: 支持`RequestConnectorProtocol`条件键

## SCP 策略示例
<a name="scp-example-policy"></a>

以下示例 SCP 阻止在整个组织中创建公共 Amazon Transfer Family 服务器：

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
        "Sid": "DenyPublicTransferServers",
        "Effect": "Deny",
        "Action": ["transfer:CreateServer", "transfer:UpdateServer"],
        "Resource": "*",
        "Condition": {
            "StringEquals": {
                "transfer:RequestServerEndpointType": "PUBLIC"
            }
        }
    }]
}
```