Exemplos de política baseada em identidade do Direct Connect usando condições baseadas em tag - AWS Direct Connect

Exemplos de política baseada em identidade do Direct Connect usando condições baseadas em tag

É possível controlar o acesso a recursos e solicitações usando condições de chave de tag. Também é possível usar uma condição em sua política do IAM para controlar se chaves de tag específicas podem ser usadas em um recurso ou em uma solicitação.

Para obter informações sobre como usar tags com políticas do IAM, consulte Como controlar o acesso com tags no Guia do usuário do IAM.

Associar interfaces virtuais do Direct Connect com base em tags

O exemplo a seguir mostra como você pode criar uma política que permite associar uma interface virtual somente se a tag contiver a chave de ambiente e os valores de produção ou pré-produção.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "directconnect:AssociateVirtualInterface" ], "Resource": "arn:aws:directconnect:*:*:dxvif/*", "Condition": { "StringEquals": { "aws:ResourceTag/environment": [ "preprod", "production" ] } } }, { "Effect": "Allow", "Action": "directconnect:DescribeVirtualInterfaces", "Resource": "*" } ] }

Controlar o acesso a solicitações com base em tags

É possível usar condições em suas políticas do IAM para controlar quais pares de chave/valor da tag podem ser transmitidos em uma solicitação que marque um recurso da AWS. O exemplo a seguir mostra como você pode criar uma política que permite usar a ação TagResource do AWS Direct Connect para anexar tags a uma interface virtual somente se a tag contiver a chave de ambiente e os valores de produção ou pré-produção. Como uma prática recomendada, use o modificador ForAllValues com a chave de condição aws:TagKeys para indicar que somente a chave de ambiente é permitida na solicitação.

{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": "directconnect:TagResource", "Resource": "arn:aws:directconnect:*:*:dxvif/*", "Condition": { "StringEquals": { "aws:RequestTag/environment": [ "preprod", "production" ] }, "ForAllValues:StringEquals": {"aws:TagKeys": "environment"} } } }

Controlar as chaves de tag

É possível usar uma condição em suas políticas do IAM para controlar se chaves de tag específicas podem ser usadas em um recurso ou em uma solicitação.

O exemplo a seguir mostra como você pode criar uma política que permite marcar recursos, mas somente com a chave de tag de ambiente.

{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": "directconnect:TagResource", "Resource": "*", "Condition": { "ForAllValues:StringEquals": { "aws:TagKeys": [ "environment" ] } } } }