Association d'interfaces virtuelles Direct Connect basées sur des balises Contrôle de l'accès aux demandes en fonction des balises Contrôle des clés de balise

Exemples de politique basée sur l'identité Direct Connect utilisant des conditions basées sur des balises

Vous pouvez contrôler l'accès aux ressources et aux demandes en utilisant des conditions de clé de balise. Vous pouvez également utiliser une condition dans votre IAM politique pour contrôler si des clés de balise spécifiques peuvent être utilisées sur une ressource ou dans une demande.

Pour plus d'informations sur l'utilisation des balises avec IAM les politiques, consultez la section Contrôle de l'accès à l'aide de balises dans le guide de IAM l'utilisateur.

Association d'interfaces virtuelles Direct Connect basées sur des balises

L'exemple suivant montre comment créer une stratégie autorisant l'association d'une interface virtuelle uniquement si la balise contient la clé d'environnement et les valeurs preprod ou production.


       {
      "Version": "2012-10-17",
      "Statement": [
        {
          "Effect": "Allow",
          "Action": [
            "directconnect:AssociateVirtualInterface"
          ],
          "Resource": "arn:aws:directconnect:*:*:dxvif/*",
          "Condition": {
            "StringEquals": {
              "aws:ResourceTag/environment": [
                "preprod",
                "production"
              ]
            }
          }
        },
        {
          "Effect": "Allow",
          "Action": "directconnect:DescribeVirtualInterfaces",
          "Resource": "*"
        }
      ]
    }

Contrôle de l'accès aux demandes en fonction des balises

Vous pouvez utiliser des conditions dans vos IAM politiques pour contrôler les paires clé-valeur de balise qui peuvent être transmises dans une demande qui balise une AWS ressource. L'exemple suivant montre comment créer une politique qui permet d'utiliser l' AWS Direct Connect TagResource action pour attacher des balises à une interface virtuelle uniquement si la balise contient la clé d'environnement et les valeurs de préproduction ou de production. En tant que bonne pratique, utilisez le modificateur ForAllValues avec la clé de condition aws:TagKeys pour indiquer que seule la clé environment est autorisée dans la demande.


    {
        "Version": "2012-10-17",
        "Statement": {
            "Effect": "Allow",
            "Action": "directconnect:TagResource",
            "Resource": "arn:aws:directconnect:*:*:dxvif/*",
            "Condition": {
                "StringEquals": {
                    "aws:RequestTag/environment": [
                        "preprod",
                        "production"
                    ]
                },
                "ForAllValues:StringEquals": {"aws:TagKeys": "environment"}
            }
        }
    }

Contrôle des clés de balise

Vous pouvez utiliser une condition dans vos IAM politiques pour contrôler si des clés de balise spécifiques peuvent être utilisées sur une ressource ou dans une demande.

L'exemple suivant montre comment créer une stratégie vous permettant de baliser des ressources, mais uniquement celles contenant la clé de balise environment.


     {
      "Version": "2012-10-17",
      "Statement": {
        "Effect": "Allow",
        "Action": "directconnect:TagResource",
        "Resource": "*",
        "Condition": {
          "ForAllValues:StringEquals": {
            "aws:TagKeys": [
              "environment"
            ]
          }
        }
      }
    }

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Exemples de politiques basées sur une identité pour Direct Connect

Rôles liés à un service