Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Identitäts- und Zugriffsmanagement in Amazon VPC Transit Gateways
AWS verwendet Sicherheitsanmeldedaten, um Sie zu identifizieren und Ihnen Zugriff auf Ihre AWS Ressourcen zu gewähren. Sie können Funktionen von AWS Identity and Access Management (IAM) verwenden, um es anderen Benutzern, Diensten und Anwendungen zu ermöglichen, Ihre AWS Ressourcen vollständig oder eingeschränkt zu nutzen, ohne Ihre Sicherheitsanmeldeinformationen weiterzugeben.
Standardmäßig sind IAM-Benutzer nicht berechtigt, Ressourcen zu erstellen, anzuzeigen oder zu ändern AWS . Um einem Benutzer zu erlauben, auf Ressourcen wie ein Transit Gateway zuzugreifen und Aufgaben auszuführen, müssen Sie eine IAM-Richtlinie erstellen, die dem Benutzer die Berechtigung zum Verwenden der spezifischen benötigten Ressourcen und API-Funktionen gewährt. Fügen Sie dann die Richtlinie an die Gruppe an, welcher der Benutzer angehört. Wenn Sie einem Benutzer oder einer Benutzergruppe eine Richtlinie zuordnen, wird den Benutzern die Ausführung der angegebenen Aufgaben für die angegebenen Ressourcen gestattet oder verweigert.
Um mit einem Transit-Gateway zu arbeiten, könnte eine der folgenden AWS verwalteten Richtlinien Ihren Anforderungen entsprechen:
Beispielrichtlinien für die Verwaltung von Transit Gateways
Im Folgenden finden Sie IAM-Beispielrichtlinien für das Arbeiten mit Transit Gateways.
Erstellen eines Transit Gateways mit den erforderlichen Tags
Im folgenden Beispiel können Benutzer Transit Gateways erstellen. Der aws:RequestTag-Bedingungsschlüssel erfordert, dass Benutzer das Transit Gateway mit dem stack=prod-Tag kennzeichnen. Der aws:TagKeys-Bedingungsschlüssel verwendet den Modifikator ForAllValues, um anzuzeigen, dass nur der Schlüssel stack in der Anforderung zulässig ist (es können keine anderen Tags angegeben werden). Wenn Benutzer dieses spezifische Tag beim Erstellen des Transit Gateways nicht übergeben, oder wenn sie überhaupt keine Tags angeben, schlägt die Anforderung fehl.
Die zweite Anweisung enthält den ec2:CreateAction-Bedingungsschlüssel, sodass die Benutzer Tags nur im Kontext von CreateTransitGateway erstellen können.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowCreateTaggedTGWs", "Effect": "Allow", "Action": "ec2:CreateTransitGateway", "Resource": "arn:aws:ec2:region:account-id:transit-gateway/*", "Condition": { "StringEquals": { "aws:RequestTag/stack": "prod" }, "ForAllValues:StringEquals": { "aws:TagKeys": [ "stack" ] } } }, { "Effect": "Allow", "Action": [ "ec2:CreateTags" ], "Resource": "arn:aws:ec2:region:account-id:transit-gateway/*", "Condition": { "StringEquals": { "ec2:CreateAction": "CreateTransitGateway" } } } ] }
Arbeiten mit Transit-Gateway-Routing-Tabellen
Im folgenden Beispiel können Benutzer nur für ein bestimmtes Transit Gateway Routing-Tabellen erstellen und löschen (tgw-11223344556677889). Benutzer können Routen auch in einer beliebigen Routing-Tabelle des Transit Gateways erstellen und ersetzen, jedoch nur für Anhänge mit dem Tag network=new-york-office.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:DeleteTransitGatewayRouteTable", "ec2:CreateTransitGatewayRouteTable" ], "Resource": [ "arn:aws:ec2:region:account-id:transit-gateway/tgw-11223344556677889", "arn:aws:ec2:*:*:transit-gateway-route-table/*" ] }, { "Effect": "Allow", "Action": [ "ec2:CreateTransitGatewayRoute", "ec2:ReplaceTransitGatewayRoute" ], "Resource": "arn:aws:ec2:*:*:transit-gateway-attachment/*", "Condition": { "StringEquals": { "ec2:ResourceTag/network": "new-york-office" } } }, { "Effect": "Allow", "Action": [ "ec2:CreateTransitGatewayRoute", "ec2:ReplaceTransitGatewayRoute" ], "Resource": "arn:aws:ec2:*:*:transit-gateway-route-table/*" } ] }
