Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Manajemen identitas dan akses di Amazon VPC Transit Gateways
AWS menggunakan kredensi keamanan untuk mengidentifikasi Anda dan memberi Anda akses ke sumber daya Anda AWS . Anda dapat menggunakan fitur AWS Identity and Access Management (IAM) untuk memungkinkan pengguna, layanan, dan aplikasi lain menggunakan AWS sumber daya Anda sepenuhnya atau dengan cara yang terbatas, tanpa membagikan kredensil keamanan Anda.
Secara default, pengguna IAM tidak memiliki izin untuk membuat, melihat, atau memodifikasi AWS sumber daya. Untuk mengizinkan pengguna mengakses sumber daya seperti gateway transit, dan untuk melakukan tugas, Anda harus membuat kebijakan IAM yang memberikan izin kepada pengguna untuk menggunakan sumber daya spesifik dan tindakan API yang mereka perlukan, lalu lampirkan kebijakan tersebut ke grup tempat pengguna tersebut berada. Saat Anda melampirkan kebijakan ke pengguna atau grup pengguna, kebijakan itu mengizinkan atau menolak izin pengguna untuk melakukan tugas yang ditentukan pada sumber daya yang ditentukan.
Untuk bekerja dengan gateway transit, salah satu kebijakan AWS terkelola berikut mungkin memenuhi kebutuhan Anda:
Contoh kebijakan untuk mengelola gateway transit
Berikut ini adalah contoh kebijakan IAM untuk bekerja dengan gateway transit.
Buat gateway transit dengan tag yang diperlukan
Contoh berikut memungkinkan pengguna untuk membuat gateway transit. Kunci aws:RequestTag kondisi mengharuskan pengguna untuk menandai gateway transit dengan tagstack=prod. Kunci aws:TagKeys kondisi menggunakan ForAllValues pengubah untuk menunjukkan bahwa hanya kunci yang stack diizinkan dalam permintaan (tidak ada tag lain yang dapat ditentukan). Jika pengguna tidak meneruskan tag khusus ini saat mereka membuat gateway transit, atau jika mereka tidak menentukan tag sama sekali, permintaan gagal.
Pernyataan kedua menggunakan kunci syarat ec2:CreateAction untuk memungkinkan para pengguna membuat tanda hanya dalam konteks CreateTransitGateway.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowCreateTaggedTGWs", "Effect": "Allow", "Action": "ec2:CreateTransitGateway", "Resource": "arn:aws:ec2:region:account-id:transit-gateway/*", "Condition": { "StringEquals": { "aws:RequestTag/stack": "prod" }, "ForAllValues:StringEquals": { "aws:TagKeys": [ "stack" ] } } }, { "Effect": "Allow", "Action": [ "ec2:CreateTags" ], "Resource": "arn:aws:ec2:region:account-id:transit-gateway/*", "Condition": { "StringEquals": { "ec2:CreateAction": "CreateTransitGateway" } } } ] }
Bekerja dengan tabel rute gateway transit
Contoh berikut memungkinkan pengguna untuk membuat dan menghapus tabel rute gateway transit untuk gateway transit tertentu saja (tgw-11223344556677889). Pengguna juga dapat membuat dan mengganti rute di tabel rute gateway transit apa pun, tetapi hanya untuk lampiran yang memiliki tagnetwork=new-york-office.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:DeleteTransitGatewayRouteTable", "ec2:CreateTransitGatewayRouteTable" ], "Resource": [ "arn:aws:ec2:region:account-id:transit-gateway/tgw-11223344556677889", "arn:aws:ec2:*:*:transit-gateway-route-table/*" ] }, { "Effect": "Allow", "Action": [ "ec2:CreateTransitGatewayRoute", "ec2:ReplaceTransitGatewayRoute" ], "Resource": "arn:aws:ec2:*:*:transit-gateway-attachment/*", "Condition": { "StringEquals": { "ec2:ResourceTag/network": "new-york-office" } } }, { "Effect": "Allow", "Action": [ "ec2:CreateTransitGatewayRoute", "ec2:ReplaceTransitGatewayRoute" ], "Resource": "arn:aws:ec2:*:*:transit-gateway-route-table/*" } ] }
