Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# AWS Transfer Family Beispiele für tagbasierte Richtlinien
Im Folgenden finden Sie Beispiele dafür, wie Sie den Zugriff auf AWS Transfer Family Ressourcen anhand von Tags steuern können.
## Verwendung von Tags zur Steuerung des Zugriffs auf AWS Transfer Family Ressourcen
Bedingungen in IAM-Richtlinien sind Teil der Syntax, mit der Sie Berechtigungen für AWS Transfer Family Ressourcen angeben. Sie können den Zugriff auf AWS Transfer Family Ressourcen (wie Benutzer, Server, Rollen und andere Entitäten) anhand von Tags auf diesen Ressourcen steuern. Tags sind Schlüssel-Wert-Paare, Weitere Informationen zum Markieren von Ressourcen finden Sie unter [Taggen von AWS Ressourcen](https://docs.aws.amazon.com/general/latest/gr/aws_tagging.html) in der. *Allgemeine AWS-Referenz*
In AWS Transfer Family können Ressourcen Tags haben, und einige Aktionen können Tags enthalten. Wenn Sie eine IAM-Richtlinie erstellen, können Sie Markierungs-Bedingungsschlüssel verwenden, um Folgendes zu kontrollieren:
+ Welche Benutzer anhand der Tags, die die AWS Transfer Family Ressource besitzt, Aktionen an einer Ressource ausführen können.
+ Welche Tags in der Anforderung einer Aktion übergeben werden können.
+ Ob bestimmte Tag-Schlüssel in einer Anforderung verwendet werden können.
Durch die Verwendung der tagbasierten Zugriffskontrolle können Sie eine genauere Kontrolle als auf API-Ebene anwenden. Sie können auch eine dynamischere Steuerung anwenden als mit einer ressourcenbasierten Zugriffskontrolle. Sie können IAM-Richtlinien erstellen, die einen Vorgang auf der Grundlage der in der Anfrage angegebenen Tags (Anforderungs-Tags) zulassen oder verweigern. Sie können IAM-Richtlinien auch auf der Grundlage von Tags auf der Ressource erstellen, auf der gearbeitet wird (Ressourcen-Tags). Im Allgemeinen sind Ressourcen-Tags für Tags vorgesehen, die sich bereits auf Ressourcen befinden. Anforderungs-Tags sind für das Hinzufügen oder Entfernen von Tags zu einer Ressource vorgesehen.
Die vollständige Syntax und Semantik von Tag-Bedingungsschlüsseln finden Sie im *IAM-Benutzerhandbuch* unter [Steuern des Zugriffs auf AWS Ressourcen mithilfe von Ressourcen-Tags](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html). Einzelheiten zur Angabe von IAM-Richtlinien mit API Gateway finden Sie unter [Steuern des Zugriffs auf eine API mit IAM-Berechtigungen](https://docs.aws.amazon.com/apigateway/latest/developerguide/permissions.html) im *API Gateway Developer Guide*.
### Beispiel 1: Verweigern Sie Aktionen, die auf Ressourcen-Tags basieren
Sie können die Ausführung einer Aktion an einer Ressource auf der Grundlage von Tags verweigern. Die folgende Beispielrichtlinie verweigert`TagResource`,,, `UntagResource``StartServer`, und `DescribeUser` Operationen `StopServer``DescribeServer`, wenn die Benutzer- oder Serverressource mit dem Schlüssel `stage` und dem Wert `prod` gekennzeichnet ist.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"transfer:TagResource",
"transfer:UntagResource",
"transfer:StartServer",
"transfer:StopServer",
"transfer:DescribeServer",
"transfer:DescribeUser"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/stage": "prod"
}
}
}
]
}
```
### Beispiel 2: Aktionen auf der Grundlage von Ressourcen-Tags zulassen
Sie können zulassen, dass eine Aktion für eine Ressource ausgeführt wird, die auf Tags basiert. Die folgende Beispielrichtlinie ermöglicht`TagResource`,`UntagResource`,, `StartServer``StopServer`, und `DescribeUser` Operationen`DescribeServer`, wenn die Benutzer- oder Serverressource mit dem Schlüssel `stage` und dem Wert gekennzeichnet ist`prod`.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"transfer:TagResource",
"transfer:UntagResource",
"transfer:StartServer",
"transfer:StopServer",
"transfer:DescribeServer",
"transfer:DescribeUser"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/stage": "prod"
}
}
}
]
}
```
### Beispiel 3: Verweigern Sie die Erstellung eines Benutzers oder Servers auf der Grundlage von Anforderungs-Tags
Die folgende Beispielrichtlinie enthält zwei Anweisungen. Die erste Anweisung verweigert den `CreateServer` Vorgang für alle Ressourcen, wenn der Kostenstellenschlüssel für das Tag keinen Wert hat.
Die zweite Anweisung lehnt den `CreateServer` Vorgang ab, wenn der Kostenstellenschlüssel für das Tag einen anderen Wert als 1, 2 oder 3 enthält.
**Anmerkung**
Diese Richtlinie ermöglicht das Erstellen oder Löschen einer Ressource, die einen Schlüssel namens `costcenter` und den Wert `1``2`, oder `3` enthält.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"transfer:CreateServer"
],
"Resource": [
"*"
],
"Condition": {
"Null": {
"aws:RequestTag/costcenter": "true"
}
}
},
{
"Effect": "Deny",
"Action": "transfer:CreateServer",
"Resource": [
"*"
],
"Condition": {
"ForAnyValue:StringNotEquals": {
"aws:RequestTag/costcenter": [
"1",
"2",
"3"
]
}
}
}
]
}
```