Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Gestione delle identità e degli accessi in Amazon VPC Transit Gateway
AWS utilizza credenziali di sicurezza per identificarti e concederti l'accesso alle tue AWS risorse. Puoi utilizzare le funzionalità di AWS Identity and Access Management (IAM) per consentire ad altri utenti, servizi e applicazioni di utilizzare le tue AWS risorse completamente o in modo limitato, senza condividere le tue credenziali di sicurezza.
Per impostazione predefinita, gli utenti IAM non sono autorizzati a creare, visualizzare o modificare AWS le risorse. Per consentire a un utente di accedere a risorse come un gateway di transito e di eseguire attività, è necessario creare una policy IAM che conceda all'utente l'autorizzazione per utilizzare le risorse specifiche e le operazioni API di cui ha bisogno, quindi collegare la policy al gruppo a cui appartiene tale utente. Quando si collega una policy a un utente o a un gruppo di utenti, viene concessa o rifiutata agli utenti l'autorizzazione per l'esecuzione delle attività specificate sulle risorse specificate.
Per lavorare con un gateway di transito, una delle seguenti politiche AWS gestite potrebbe soddisfare le tue esigenze:
Policy di esempio per la gestione dei gateway di transito
Di seguito sono riportate le policy IAM di esempio per l'utilizzo dei gateway di transito.
Creazione di un gateway di transito con i tag necessari
L'esempio seguente consente agli utenti di creare gateway di transito. La chiave di condizione aws:RequestTag richiede agli utenti di contrassegnare il gateway di transito con il tag stack=prod. La chiave di condizione aws:TagKeys utilizza il modificatore ForAllValues per indicare che soltanto la chiave stack è consentita nella richiesta (non è possibile specificare altri tag). Se gli utenti non passano questo tag specifico quando creano il gateway di transito o se non specificano affatto i tag, la richiesta non riesce.
La seconda istruzione utilizza la chiave di condizione ec2:CreateAction per consentire agli utenti di creare i tag soltanto nel contesto di CreateTransitGateway.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowCreateTaggedTGWs", "Effect": "Allow", "Action": "ec2:CreateTransitGateway", "Resource": "arn:aws:ec2:region:account-id:transit-gateway/*", "Condition": { "StringEquals": { "aws:RequestTag/stack": "prod" }, "ForAllValues:StringEquals": { "aws:TagKeys": [ "stack" ] } } }, { "Effect": "Allow", "Action": [ "ec2:CreateTags" ], "Resource": "arn:aws:ec2:region:account-id:transit-gateway/*", "Condition": { "StringEquals": { "ec2:CreateAction": "CreateTransitGateway" } } } ] }
Utilizzo delle tabelle di routing del gateway di transito
L'esempio seguente consente agli utenti di creare ed eliminare tabelle di routing del gateway di transito solo per un gateway di transito specifico (tgw-11223344556677889). Gli utenti possono inoltre creare e sostituire route in qualsiasi tabella di routing del gateway di transito, ma solo per gli allegati con il tag network=new-york-office.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:DeleteTransitGatewayRouteTable", "ec2:CreateTransitGatewayRouteTable" ], "Resource": [ "arn:aws:ec2:region:account-id:transit-gateway/tgw-11223344556677889", "arn:aws:ec2:*:*:transit-gateway-route-table/*" ] }, { "Effect": "Allow", "Action": [ "ec2:CreateTransitGatewayRoute", "ec2:ReplaceTransitGatewayRoute" ], "Resource": "arn:aws:ec2:*:*:transit-gateway-attachment/*", "Condition": { "StringEquals": { "ec2:ResourceTag/network": "new-york-office" } } }, { "Effect": "Allow", "Action": [ "ec2:CreateTransitGatewayRoute", "ec2:ReplaceTransitGatewayRoute" ], "Resource": "arn:aws:ec2:*:*:transit-gateway-route-table/*" } ] }
