Administración de identidades y accesos en Amazon VPC Transit Gateways
AWS utiliza credenciales de seguridad para identificarlo y concederle acceso a sus recursos de AWS. Puede utilizar las características de AWS Identity and Access Management (IAM) para permitir que otros usuarios, servicios y aplicaciones usen sus recursos de AWS total o parcialmente, sin necesidad de compartir sus credenciales de seguridad.
De forma predeterminada, los usuarios de IAM no tienen permiso para crear, consultar ni modificar recursos de AWS. Para permitir que un usuario acceda a los recursos, por ejemplo, una puerta de enlace de tránsito y realice tareas, debe crear una política de IAM que conceda al usuario permiso para utilizar los recursos específicos y las acciones de API que necesita. A continuación, asocie la política al usuario al grupo al que pertenece el usuario. Cuando se asocia una política a un usuario o grupo de usuarios, les otorga o deniega el permiso para realizar las tareas especificadas en los recursos indicados.
Para trabajar con una puerta de enlace de tránsito, es posible que una de las siguientes políticas administradas por AWS cumpla sus necesidades:
Políticas de ejemplo para administrar las puerta de enlaces de tránsito
A continuación, se muestran políticas de IAM de ejemplo para el trabajo con puerta de enlaces de tránsito.
Crear una puerta de enlace de tránsito con las etiquetas obligatorias
El siguiente ejemplo permite a los usuarios crear una puerta de enlace de tránsito. La clave de condición aws:RequestTag precisa que los usuarios etiqueten la puerta de enlace de tránsito con la etiqueta stack=prod. La clave de condición aws:TagKeys utiliza el modificador ForAllValues para indicar que solo la clave stack está permitida en la solicitud (no se puede especificar ninguna otra etiqueta). Si los usuarios no transmiten esta etiqueta en concreto cuando crean la puerta de enlace de tránsito o si no especifican ninguna etiqueta, la solicitud dará un error.
La segunda instrucción utiliza la clave de condición ec2:CreateAction para permitir a los usuarios crear etiquetas únicamente en el contexto de CreateTransitGateway.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowCreateTaggedTGWs", "Effect": "Allow", "Action": "ec2:CreateTransitGateway", "Resource": "arn:aws:ec2:region:account-id:transit-gateway/*", "Condition": { "StringEquals": { "aws:RequestTag/stack": "prod" }, "ForAllValues:StringEquals": { "aws:TagKeys": [ "stack" ] } } }, { "Effect": "Allow", "Action": [ "ec2:CreateTags" ], "Resource": "arn:aws:ec2:region:account-id:transit-gateway/*", "Condition": { "StringEquals": { "ec2:CreateAction": "CreateTransitGateway" } } } ] }
Usar tablas de enrutamiento de puerta de enlaces de tránsito
El siguiente ejemplo permite a los usuarios crear y eliminar tablas de ruteo de puerta de enlace de tránsito solo para una puerta de enlace de tránsito específica (tgw-11223344556677889). Los usuarios también crean y sustituyen rutas en cualquier tabla de enrutamiento de puerta de enlace de tránsito, pero solo para las vinculaciones que tienen la etiqueta network=new-york-office.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:DeleteTransitGatewayRouteTable", "ec2:CreateTransitGatewayRouteTable" ], "Resource": [ "arn:aws:ec2:region:account-id:transit-gateway/tgw-11223344556677889", "arn:aws:ec2:*:*:transit-gateway-route-table/*" ] }, { "Effect": "Allow", "Action": [ "ec2:CreateTransitGatewayRoute", "ec2:ReplaceTransitGatewayRoute" ], "Resource": "arn:aws:ec2:*:*:transit-gateway-attachment/*", "Condition": { "StringEquals": { "ec2:ResourceTag/network": "new-york-office" } } }, { "Effect": "Allow", "Action": [ "ec2:CreateTransitGatewayRoute", "ec2:ReplaceTransitGatewayRoute" ], "Resource": "arn:aws:ec2:*:*:transit-gateway-route-table/*" } ] }
