Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

AWS Transfer Family exemples de politiques basées sur des balises

Vous trouverez ci-dessous des exemples de contrôle de l'accès aux AWS Transfer Family ressources à l'aide de balises.

Utilisation de balises pour contrôler l'accès aux ressources AWS Transfer Family

Les conditions des politiques IAM font partie de la syntaxe que vous utilisez pour spécifier les autorisations relatives aux AWS Transfer Family ressources. Vous pouvez contrôler l'accès aux AWS Transfer Family ressources (telles que les utilisateurs, les serveurs, les rôles et autres entités) en fonction des balises associées à ces ressources. Les balises sont des paires clé-valeur. Pour plus d'informations sur le balisage des ressources, consultez la section Marquage AWS des ressources dans le. Références générales AWS

Dans AWS Transfer Family, les ressources peuvent avoir des balises, et certaines actions peuvent inclure des balises. Lorsque vous créez une stratégie IAM, vous pouvez utiliser des clés de condition de balise pour contrôler les éléments suivants :

En utilisant le contrôle d'accès basé sur des balises, vous pouvez appliquer un contrôle plus fin qu'au niveau de l'API. Vous pouvez également appliquer un contrôle plus dynamique qu'en utilisant le contrôle d'accès basé sur les ressources. Vous pouvez créer des politiques IAM qui autorisent ou refusent une opération en fonction des balises fournies dans la demande (balises de demande). Vous pouvez également créer des politiques IAM basées sur les balises de la ressource utilisée (balises de ressource). En général, les balises de ressources concernent les balises déjà présentes sur les ressources, tandis que les balises de requête sont destinées à être utilisées lorsque vous ajoutez des balises à une ressource ou que vous en supprimez.

Pour connaître la syntaxe et la sémantique complètes des clés de condition des balises, consultez la section Contrôle de l'accès aux AWS ressources à l'aide des balises de ressources dans le guide de l'utilisateur IAM. Pour plus de détails sur la spécification des politiques IAM avec API Gateway, consultez la section Contrôler l'accès à une API avec des autorisations IAM dans le guide du développeur d'API Gateway.

Exemple 1 : Refuser les actions en fonction des balises de ressources

Vous pouvez refuser l'exécution d'une action sur une ressource en fonction de balises. L'exemple de politique suivant refuseTagResource,UntagResource,StartServer, StopServerDescribeServer, et les DescribeUser opérations si la ressource utilisateur ou serveur est étiquetée avec la clé stage et la valeurprod.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "transfer:TagResource",
                "transfer:UntagResource",
                "transfer:StartServer",
                "transfer:StopServer", 
                "transfer:DescribeServer",
                "transfer:DescribeUser
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/stage": "prod"
                }
            }
        }
    ]
}

Exemple 2 : Autoriser les actions en fonction des balises de ressources

Vous pouvez autoriser l'exécution d'une action sur une ressource en fonction de balises. L'exemple de politique suivant autorise les DescribeUser opérations TagResource UntagResourceStartServer,StopServer,DescribeServer,, et si la ressource utilisateur ou serveur est étiquetée avec la clé stage et la valeurprod.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "transfer:TagResource",
                "transfer:UntagResource",
                "transfer:StartServer",
                "transfer:StopServer", 
                "transfer:DescribeServer",
                "transfer:DescribeUser                            
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/stage": "prod"
                }
            }
        }
    ]
}

Exemple 3 : refuser la création d'un utilisateur ou d'un serveur en fonction des balises de requête

L'exemple de politique suivant contient deux déclarations. La première instruction refuse l'CreateServeropération sur toutes les ressources si la clé du centre de coûts associée à la balise n'a pas de valeur.

La deuxième instruction refuse l'CreateServeropération si la clé du centre de coûts pour la balise contient une valeur autre que 1, 2 ou 3.

{
    "Version": "2012-10-17",
    "Statement": [
        { 
            "Effect": "Deny",
            "Action": [
                "transfer:CreateServer"
            ],
            "Resource": [
                "*"
            ],
            "Condition": {
                "Null":  {
                    "aws:RequestTag/costcenter": "true"
                }
            }
        },
        {
            "Effect": "Deny",
            "Action": "transfer:CreateServer",
            "Resource": [
                "*"
            ],
            "Condition": {
                "ForAnyValue:StringNotEquals": {
                    "aws:RequestTag/costcenter": [
                        "1",
                        "2",
                        "3"
                    ]
                }
            }
        }           
    ]
}