Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Gestion des identités et des accès dans Amazon VPC Transit Gateways
AWS utilise des identifiants de sécurité pour vous identifier et vous donner accès à vos AWS ressources. Vous pouvez utiliser les fonctionnalités de AWS Identity and Access Management (IAM) pour permettre à d'autres utilisateurs, services et applications d'utiliser vos AWS ressources dans leur intégralité ou de manière limitée, sans partager vos informations d'identification de sécurité.
Par défaut, les utilisateurs IAM ne sont pas autorisés à créer, afficher ou modifier AWS des ressources. Pour permettre à un utilisateur d'accéder aux ressources, par exemple une passerelle de transit, et d'exécuter des tâches, vous devez créer une politique IAM qui accorde à l'utilisateur l'autorisation d'utiliser les ressources spécifiques et les actions d'API dont il a besoin, puis d'attacher la politique au groupe auquel cet utilisateur appartient. Quand vous attachez une politique à un utilisateur ou à un groupe d'utilisateurs, elle accorde ou refuse aux utilisateurs l'autorisation d'exécuter les tâches spécifiées sur les ressources spécifiées.
Pour utiliser une passerelle de transit, l'une des politiques AWS gérées suivantes peut répondre à vos besoins :
Exemples de stratégies pour gérer des passerelles de transit
Voici des exemples de stratégies IAM pour l'utilisation des passerelles de transit.
Créer une passerelle de transit avec les balises requises
L'exemple suivant permet aux utilisateurs de créer une passerelle de transit. La clé de condition aws:RequestTag oblige les utilisateurs à baliser la passerelle de transit avec la balise stack=prod. La clé de condition aws:TagKeys utilise le modificateur ForAllValues pour indiquer que seule la clé stack est autorisée dans la demande. Aucune autre balise ne peut être spécifiée. Si les utilisateurs n'utilisent pas cette balise spécifique lorsqu'ils créent la passerelle de transit, ou s'ils ne spécifient aucune balise, la demande échoue.
La deuxième déclaration utilise la clé de condition ec2:CreateAction pour permettre aux utilisateurs de créer des balises uniquement dans le contexte de CreateTransitGateway.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowCreateTaggedTGWs", "Effect": "Allow", "Action": "ec2:CreateTransitGateway", "Resource": "arn:aws:ec2:region:account-id:transit-gateway/*", "Condition": { "StringEquals": { "aws:RequestTag/stack": "prod" }, "ForAllValues:StringEquals": { "aws:TagKeys": [ "stack" ] } } }, { "Effect": "Allow", "Action": [ "ec2:CreateTags" ], "Resource": "arn:aws:ec2:region:account-id:transit-gateway/*", "Condition": { "StringEquals": { "ec2:CreateAction": "CreateTransitGateway" } } } ] }
Utilisation des tables de routage de passerelle de transit
L'exemple suivant permet aux utilisateurs de créer et de supprimer des tables de routage de passerelle de transit pour une seule passerelle de transit uniquement (tgw-11223344556677889). Les utilisateurs peuvent également créer et remplacer des routes dans n'importe quelle table de routage de passerelle de transit, mais uniquement pour les attachements qui ont la balise network=new-york-office.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:DeleteTransitGatewayRouteTable", "ec2:CreateTransitGatewayRouteTable" ], "Resource": [ "arn:aws:ec2:region:account-id:transit-gateway/tgw-11223344556677889", "arn:aws:ec2:*:*:transit-gateway-route-table/*" ] }, { "Effect": "Allow", "Action": [ "ec2:CreateTransitGatewayRoute", "ec2:ReplaceTransitGatewayRoute" ], "Resource": "arn:aws:ec2:*:*:transit-gateway-attachment/*", "Condition": { "StringEquals": { "ec2:ResourceTag/network": "new-york-office" } } }, { "Effect": "Allow", "Action": [ "ec2:CreateTransitGatewayRoute", "ec2:ReplaceTransitGatewayRoute" ], "Resource": "arn:aws:ec2:*:*:transit-gateway-route-table/*" } ] }
