Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Identitäts- und Zugriffsmanagement in Amazon VPC Transit Gateways
AWS verwendet Sicherheitsanmeldedaten, um Sie zu identifizieren und Ihnen Zugriff auf Ihre AWS Ressourcen zu gewähren. Sie können die Funktionen von AWS Identity and Access Management (IAM) verwenden, um anderen Benutzern, Diensten und Anwendungen die vollständige oder eingeschränkte Nutzung Ihrer AWS Ressourcen zu ermöglichen, ohne Ihre Sicherheitsanmeldeinformationen weiterzugeben.
Standardmäßig sind IAM Benutzer nicht berechtigt, AWS Ressourcen zu erstellen, anzuzeigen oder zu ändern. Um einem Benutzer den Zugriff auf Ressourcen wie ein Transit-Gateway und die Ausführung von Aufgaben zu ermöglichen, müssen Sie eine IAM Richtlinie erstellen, die dem Benutzer die Erlaubnis erteilt, die spezifischen Ressourcen und API Aktionen zu verwenden, die er benötigt, und die Richtlinie dann der Gruppe zuordnen, zu der der Benutzer gehört. Wenn Sie einem Benutzer oder einer Benutzergruppe eine Richtlinie zuordnen, wird den Benutzern die Ausführung der angegebenen Aufgaben für die angegebenen Ressourcen gestattet oder verweigert.
Um mit einem Transit-Gateway zu arbeiten, könnte eine der folgenden AWS verwalteten Richtlinien Ihren Anforderungen entsprechen:
Beispielrichtlinien für die Verwaltung von Transit Gateways
Im Folgenden finden Sie IAM Beispielrichtlinien für die Arbeit mit Transit-Gateways.
Erstellen eines Transit Gateways mit den erforderlichen Tags
Im folgenden Beispiel können Benutzer Transit Gateways erstellen. Der aws:RequestTag-Bedingungsschlüssel erfordert, dass Benutzer das Transit Gateway mit dem stack=prod-Tag kennzeichnen. Der aws:TagKeys-Bedingungsschlüssel verwendet den Modifikator ForAllValues, um anzuzeigen, dass nur der Schlüssel stack in der Anforderung zulässig ist (es können keine anderen Tags angegeben werden). Wenn Benutzer dieses spezifische Tag beim Erstellen des Transit Gateways nicht übergeben, oder wenn sie überhaupt keine Tags angeben, schlägt die Anforderung fehl.
Die zweite Anweisung enthält den ec2:CreateAction-Bedingungsschlüssel, sodass die Benutzer Tags nur im Kontext von CreateTransitGateway erstellen können.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowCreateTaggedTGWs", "Effect": "Allow", "Action": "ec2:CreateTransitGateway", "Resource": "arn:aws:ec2:region:account-id:transit-gateway/*", "Condition": { "StringEquals": { "aws:RequestTag/stack": "prod" }, "ForAllValues:StringEquals": { "aws:TagKeys": [ "stack" ] } } }, { "Effect": "Allow", "Action": [ "ec2:CreateTags" ], "Resource": "arn:aws:ec2:region:account-id:transit-gateway/*", "Condition": { "StringEquals": { "ec2:CreateAction": "CreateTransitGateway" } } } ] }
Arbeiten mit Transit-Gateway-Routing-Tabellen
Im folgenden Beispiel können Benutzer nur für ein bestimmtes Transit Gateway Routing-Tabellen erstellen und löschen (tgw-11223344556677889). Benutzer können Routen auch in einer beliebigen Routing-Tabelle des Transit Gateways erstellen und ersetzen, jedoch nur für Anhänge mit dem Tag network=new-york-office.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:DeleteTransitGatewayRouteTable", "ec2:CreateTransitGatewayRouteTable" ], "Resource": [ "arn:aws:ec2:region:account-id:transit-gateway/tgw-11223344556677889", "arn:aws:ec2:*:*:transit-gateway-route-table/*" ] }, { "Effect": "Allow", "Action": [ "ec2:CreateTransitGatewayRoute", "ec2:ReplaceTransitGatewayRoute" ], "Resource": "arn:aws:ec2:*:*:transit-gateway-attachment/*", "Condition": { "StringEquals": { "ec2:ResourceTag/network": "new-york-office" } } }, { "Effect": "Allow", "Action": [ "ec2:CreateTransitGatewayRoute", "ec2:ReplaceTransitGatewayRoute" ], "Resource": "arn:aws:ec2:*:*:transit-gateway-route-table/*" } ] }
