中转网关的身份验证和访问控制 - Amazon Virtual Private Cloud
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

中转网关的身份验证和访问控制

AWS 使用安全凭证来识别您的身份并向您授予对 AWS 资源的访问权。利用 AWS Identity and Access Management (IAM) 的功能,可在不共享您的安全凭证的情况下允许其他用户、服务和应用程序完全使用或有限制地使用您的 AWS 资源。

默认情况下,IAM 用户没有创建、查看或修改 AWS 资源的权限。要允许某个 IAM 用户访问资源(如中转网关)和执行任务,您必须创建一个 IAM 策略(该策略向该 IAM 用户授予使用其所需的特定资源和 API 操作的权限),然后将该策略附加到该 IAM 用户或该 IAM 所属的组。在将策略附加到一个用户或一组用户时,它会授权或拒绝用户使用指定资源执行指定任务。

要使用中转网关,下列 AWS 托管策略之一可能符合您的需求:

  • PowerUserAccess

  • ReadOnlyAccess

  • AmazonEC2FullAccess

  • AmazonEC2ReadOnlyAccess

有关更多信息,请参阅 Amazon EC2 用户指南 中的适用于 Amazon EC2 的 IAM 策略

管理中转网关的策略示例

以下是用于处理中转网关的示例 IAM 策略。

创建标记的中转网关

以下示例允许用户创建中转网关。aws:RequestTag 条件键要求用户使用标签 stack=prod 标记中转网关。aws:TagKeys 条件键使用 ForAllValues 修饰符指示只允许在请求中使用键 stack(不能指定任何其他标签)。如果用户在创建中转网关时未传递此特定标签,或者不指定标签,请求将失败。

第二个语句使用 ec2:CreateAction 条件键使用户只能在 CreateTransitGateway 上下文中创建标签。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowCreateTaggedTGWs", "Effect": "Allow", "Action": "ec2:CreateTransitGateway", "Resource": "arn:aws:ec2:region:account-id:transit-gateway/*", "Condition": { "StringEquals": { "aws:RequestTag/stack": "prod" }, "ForAllValues:StringEquals": { "aws:TagKeys": [ "stack" ] } } }, { "Effect": "Allow", "Action": [ "ec2:CreateTags" ], "Resource": "arn:aws:ec2:region:account-id:transit-gateway/*", "Condition": { "StringEquals": { "ec2:CreateAction": "CreateTransitGateway" } } } ] }

使用中转网关路由表

以下示例允许用户仅为特定中转网关 (tgw-11223344556677889) 创建和删除中转网关路由表。用户还可以在任何中转网关路由表中创建和替换路由,但仅针对具有标签 network=new-york-office 的连接。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:DeleteTransitGatewayRouteTable", "ec2:CreateTransitGatewayRouteTable" ], "Resource": [ "arn:aws:ec2:region:account-id:transit-gateway/tgw-11223344556677889", "arn:aws:ec2:*:*:transit-gateway-route-table/*" ] }, { "Effect": "Allow", "Action": [ "ec2:CreateTransitGatewayRoute", "ec2:ReplaceTransitGatewayRoute" ], "Resource": "arn:aws:ec2:*:*:transit-gateway-attachment/*", "Condition": { "StringEquals": { "ec2:ResourceTag/network": "new-york-office" } } }, { "Effect": "Allow", "Action": [ "ec2:CreateTransitGatewayRoute", "ec2:ReplaceTransitGatewayRoute" ], "Resource": "arn:aws:ec2:*:*:transit-gateway-route-table/*" } ] }