Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Gestione delle identità e degli accessi in Amazon VPC Transit Gateways
AWS utilizza credenziali di sicurezza per identificarti e concederti l'accesso alle tue AWS risorse. Puoi utilizzare le funzionalità di AWS Identity and Access Management (IAM) per consentire ad altri utenti, servizi e applicazioni di utilizzare le tue AWS risorse completamente o in modo limitato, senza condividere le tue credenziali di sicurezza.
Per impostazione predefinita, IAM gli utenti non dispongono dell'autorizzazione per creare, visualizzare o modificare AWS le risorse. Per consentire a un utente di accedere a risorse come un gateway di transito e di eseguire attività, è necessario creare una IAM politica che conceda all'utente l'autorizzazione a utilizzare le risorse e API le azioni specifiche di cui avrà bisogno, quindi allegare la politica al gruppo a cui appartiene l'utente. Quando si collega una policy a un utente o a un gruppo di utenti, viene concessa o rifiutata agli utenti l'autorizzazione per l'esecuzione delle attività specificate sulle risorse specificate.
Per utilizzare un gateway di transito, è possibile che una delle seguenti politiche AWS gestite soddisfi le tue esigenze:
Policy di esempio per la gestione dei gateway di transito
Di seguito sono riportati alcuni esempi IAM di politiche per l'utilizzo dei gateway di transito.
Creazione di un gateway di transito con i tag necessari
L'esempio seguente consente agli utenti di creare gateway di transito. La chiave di condizione aws:RequestTag richiede agli utenti di contrassegnare il gateway di transito con il tag stack=prod. La chiave di condizione aws:TagKeys utilizza il modificatore ForAllValues per indicare che soltanto la chiave stack è consentita nella richiesta (non è possibile specificare altri tag). Se gli utenti non passano questo tag specifico quando creano il gateway di transito o se non specificano affatto i tag, la richiesta non riesce.
La seconda istruzione utilizza la chiave di condizione ec2:CreateAction per consentire agli utenti di creare i tag soltanto nel contesto di CreateTransitGateway.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowCreateTaggedTGWs", "Effect": "Allow", "Action": "ec2:CreateTransitGateway", "Resource": "arn:aws:ec2:region:account-id:transit-gateway/*", "Condition": { "StringEquals": { "aws:RequestTag/stack": "prod" }, "ForAllValues:StringEquals": { "aws:TagKeys": [ "stack" ] } } }, { "Effect": "Allow", "Action": [ "ec2:CreateTags" ], "Resource": "arn:aws:ec2:region:account-id:transit-gateway/*", "Condition": { "StringEquals": { "ec2:CreateAction": "CreateTransitGateway" } } } ] }
Utilizzo delle tabelle di routing del gateway di transito
L'esempio seguente consente agli utenti di creare ed eliminare tabelle di routing del gateway di transito solo per un gateway di transito specifico (tgw-11223344556677889). Gli utenti possono inoltre creare e sostituire route in qualsiasi tabella di routing del gateway di transito, ma solo per gli allegati con il tag network=new-york-office.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:DeleteTransitGatewayRouteTable", "ec2:CreateTransitGatewayRouteTable" ], "Resource": [ "arn:aws:ec2:region:account-id:transit-gateway/tgw-11223344556677889", "arn:aws:ec2:*:*:transit-gateway-route-table/*" ] }, { "Effect": "Allow", "Action": [ "ec2:CreateTransitGatewayRoute", "ec2:ReplaceTransitGatewayRoute" ], "Resource": "arn:aws:ec2:*:*:transit-gateway-attachment/*", "Condition": { "StringEquals": { "ec2:ResourceTag/network": "new-york-office" } } }, { "Effect": "Allow", "Action": [ "ec2:CreateTransitGatewayRoute", "ec2:ReplaceTransitGatewayRoute" ], "Resource": "arn:aws:ec2:*:*:transit-gateway-route-table/*" } ] }
