Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
AWS Transfer Family ejemplos de políticas basadas en etiquetas
Los siguientes son ejemplos de cómo controlar el acceso a AWS Transfer Family los recursos en función de las etiquetas.
Uso de etiquetas para controlar el acceso a los recursos de AWS Transfer Family
Las condiciones de IAM las políticas forman parte de la sintaxis que se utiliza para especificar los permisos de los AWS Transfer Family recursos. Puede controlar el acceso a AWS Transfer Family los recursos (como los usuarios, los servidores, los roles y otras entidades) en función de las etiquetas de esos recursos. Las etiquetas son pares de clave-valor. Para obtener más información sobre el etiquetado de recursos, consulte Etiquetar AWS recursos en. Referencia general de AWS
En AWS Transfer Family, los recursos pueden tener etiquetas y algunas acciones pueden incluirlas. Al crear una IAM política, puede usar las claves de condición de las etiquetas para controlar lo siguiente:
-
Qué usuarios pueden realizar acciones en un AWS Transfer Family recurso, en función de las etiquetas que tenga el recurso.
-
Las etiquetas que se pueden pasar en la solicitud de una acción.
-
Si se pueden utilizar claves de etiqueta específicas en una solicitud.
Al utilizar el control de acceso basado en etiquetas, puede aplicar un control más preciso que a nivel. API También puede aplicar un control más dinámico que mediante el control de acceso basado en recursos. Puede crear IAM políticas que permitan o denieguen una operación en función de las etiquetas proporcionadas en la solicitud (etiquetas de solicitud). También puede crear IAM políticas basadas en las etiquetas del recurso en el que se está operando (etiquetas de recursos). En general, las etiquetas de recursos son para las etiquetas que ya están en los recursos, mientras que las etiquetas de solicitud son para cuando se añaden etiquetas a un recurso o se quitan etiquetas de este.
Para obtener información completa sobre la sintaxis y la semántica de las claves de condición de las etiquetas, consulte Controlar el acceso a AWS los recursos mediante etiquetas de recursos en la Guía del IAM usuario. Para obtener más información sobre cómo especificar IAM políticas con API Gateway, consulte Controlar el acceso a y API con IAM permisos en la Guía para desarrolladores de API Gateway.
Ejemplo 1: Denegar acciones en función de etiquetas de recursos
Puede denegar la realización de una acción en un recurso basándose en las etiquetas. El siguiente ejemplo de política deniega las operaciones TagResource
, UntagResource
, StartServer
, StopServer
, DescribeServer
y DescribeUser
, si el recurso de usuario o servidor está etiquetado con la clave stage
y el valor prod
.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "transfer:TagResource", "transfer:UntagResource", "transfer:StartServer", "transfer:StopServer", "transfer:DescribeServer", "transfer:DescribeUser ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceTag/stage": "prod" } } } ] }
Ejemplo 2: Permitir acciones en función de etiquetas de recursos
Puede permitir la realización de una acción en un recurso basándose en las etiquetas. El siguiente ejemplo de política permite realizar las operaciones TagResource
, UntagResource
, StartServer
, StopServer
, DescribeServer
y DescribeUser
, y si el recurso de usuario o servidor está etiquetado con la clave stage
y el valor prod
.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "transfer:TagResource", "transfer:UntagResource", "transfer:StartServer", "transfer:StopServer", "transfer:DescribeServer", "transfer:DescribeUser ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceTag/stage": "prod" } } } ] }
Ejemplo 3: denegar la creación de un usuario o servidor en función de las etiquetas de solicitud
El siguiente ejemplo contiene dos instrucciones. La primera sentencia deniega la operación CreateServer
en todos los recursos si la clave del centro de costos de la etiqueta no tiene ningún valor.
La segunda afirmación deniega la operación CreateServer
si la clave del centro de costo de la etiqueta contiene cualquier otro valor además de 1, 2 o 3.
nota
Esta política sí permite crear o eliminar un recurso que contenga una clave llamada costcenter
y un valor de 1
, 2
o 3
.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "transfer:CreateServer" ], "Resource": [ "*" ], "Condition": { "Null": { "aws:RequestTag/costcenter": "true" } } }, { "Effect": "Deny", "Action": "transfer:CreateServer", "Resource": [ "*" ], "Condition": { "ForAnyValue:StringNotEquals": { "aws:RequestTag/costcenter": [ "1", "2", "3" ] } } } ] }