Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Gestion des identités et des accès dans Amazon VPC Transit Gateways
AWS utilise des identifiants de sécurité pour vous identifier et vous donner accès à vos AWS ressources. Vous pouvez utiliser les fonctionnalités de AWS Identity and Access Management (IAM) pour permettre à d'autres utilisateurs, services et applications d'utiliser vos AWS ressources dans leur intégralité ou de manière limitée, sans partager vos informations d'identification de sécurité.
Par défaut, IAM les utilisateurs ne sont pas autorisés à créer, afficher ou modifier AWS des ressources. Pour permettre à un utilisateur d'accéder à des ressources telles qu'une passerelle de transit, et pour effectuer des tâches, vous devez créer une IAM politique qui accorde à l'utilisateur l'autorisation d'utiliser les ressources et les API actions spécifiques dont il aura besoin, puis associer la politique au groupe auquel appartient cet utilisateur. Quand vous attachez une politique à un utilisateur ou à un groupe d'utilisateurs, elle accorde ou refuse aux utilisateurs l'autorisation d'exécuter les tâches spécifiées sur les ressources spécifiées.
Pour utiliser une passerelle de transit, l'une des politiques AWS gérées suivantes peut répondre à vos besoins :
Exemples de stratégies pour gérer des passerelles de transit
Vous trouverez ci-dessous des exemples de IAM politiques relatives à l'utilisation des passerelles de transport en commun.
Créer une passerelle de transit avec les balises requises
L'exemple suivant permet aux utilisateurs de créer une passerelle de transit. La clé de condition aws:RequestTag
oblige les utilisateurs à baliser la passerelle de transit avec la balise stack=prod
. La clé de condition aws:TagKeys
utilise le modificateur ForAllValues
pour indiquer que seule la clé stack
est autorisée dans la demande. Aucune autre balise ne peut être spécifiée. Si les utilisateurs n'utilisent pas cette balise spécifique lorsqu'ils créent la passerelle de transit, ou s'ils ne spécifient aucune balise, la demande échoue.
La deuxième déclaration utilise la clé de condition ec2:CreateAction
pour permettre aux utilisateurs de créer des balises uniquement dans le contexte de CreateTransitGateway
.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowCreateTaggedTGWs", "Effect": "Allow", "Action": "ec2:CreateTransitGateway", "Resource": "arn:aws:ec2:
region
:account-id
:transit-gateway/*", "Condition": { "StringEquals": { "aws:RequestTag/stack": "prod" }, "ForAllValues:StringEquals": { "aws:TagKeys": [ "stack" ] } } }, { "Effect": "Allow", "Action": [ "ec2:CreateTags" ], "Resource": "arn:aws:ec2:region
:account-id
:transit-gateway/*", "Condition": { "StringEquals": { "ec2:CreateAction": "CreateTransitGateway" } } } ] }
Utilisation des tables de routage de passerelle de transit
L'exemple suivant permet aux utilisateurs de créer et de supprimer des tables de routage de passerelle de transit pour une seule passerelle de transit uniquement (tgw-11223344556677889
). Les utilisateurs peuvent également créer et remplacer des routes dans n'importe quelle table de routage de passerelle de transit, mais uniquement pour les attachements qui ont la balise network=new-york-office
.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:DeleteTransitGatewayRouteTable", "ec2:CreateTransitGatewayRouteTable" ], "Resource": [ "arn:aws:ec2:
region
:account-id
:transit-gateway/tgw-11223344556677889
", "arn:aws:ec2:*:*:transit-gateway-route-table/*" ] }, { "Effect": "Allow", "Action": [ "ec2:CreateTransitGatewayRoute", "ec2:ReplaceTransitGatewayRoute" ], "Resource": "arn:aws:ec2:*:*:transit-gateway-attachment/*", "Condition": { "StringEquals": { "ec2:ResourceTag/network": "new-york-office" } } }, { "Effect": "Allow", "Action": [ "ec2:CreateTransitGatewayRoute", "ec2:ReplaceTransitGatewayRoute" ], "Resource": "arn:aws:ec2:*:*:transit-gateway-route-table/*" } ] }