As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Como o Amazon VPC Lattice funciona com IAM
Antes de usar IAM para gerenciar o acesso ao VPC Lattice, saiba quais IAM recursos estão disponíveis para uso com o VPC Lattice.
| Recurso do IAM | VPCSuporte de treliça |
|---|---|
|
Sim |
|
|
Sim |
|
|
Sim |
|
|
Sim |
|
|
Sim |
|
|
Não |
|
|
Sim |
|
|
Sim |
|
|
Não |
|
|
Sim |
Para uma visão de alto nível de como o VPC Lattice e outros AWS serviços funcionam com a maioria dos IAM recursos, consulte AWS os serviços que funcionam com IAM no Guia do IAMusuário.
Políticas baseadas em identidade para Lattice VPC
Compatível com políticas baseadas em identidade: sim
Políticas baseadas em identidade são documentos de políticas de JSON permissões que você pode anexar a uma identidade, como um IAM usuário, grupo de usuários ou função. Essas políticas controlam quais ações os usuários e perfis podem realizar, em quais atributos e em que condições. Para saber como criar uma política baseada em identidade, consulte Definir IAM permissões personalizadas com políticas gerenciadas pelo cliente no Guia do IAMusuário.
Com as políticas baseadas em identidade do IAM, é possível especificar ações ou recursos permitidos ou negados, bem como as condições sob as quais as ações são permitidas ou negadas. Você não pode especificar a entidade principal em uma política baseada em identidade porque ela se aplica ao usuário ou perfil ao qual ela está anexada. Para saber mais sobre todos os elementos que você pode usar em uma JSON política, consulte a referência IAM JSON de elementos de política no Guia IAM do usuário.
Políticas baseadas em recursos no Lattice VPC
Compatível com políticas baseadas em recursos: sim
Políticas baseadas em recursos são documentos JSON de política que você anexa a um recurso em. AWS Em AWS serviços que oferecem suporte a políticas baseadas em recursos, os administradores de serviços podem usá-las para controlar o acesso a um recurso específico desse serviço. AWS Para o atributo ao qual a política está anexada, a política define quais ações uma entidade principal especificado pode executar nesse atributo e em que condições. Você deve especificar uma entidade principal em uma política baseada em recursos.
VPCO Lattice suporta políticas de autenticação, uma política baseada em recursos que permite controlar o acesso aos serviços em sua rede de serviços. Para obter mais informações, consulte Controle o acesso aos serviços do VPC Lattice usando políticas de autenticação.
VPCO Lattice também oferece suporte a políticas de permissões baseadas em recursos para integração com o. AWS Resource Access Manager Você pode usar essas políticas baseadas em recursos para conceder permissão para gerenciar a conectividade com outras AWS contas ou organizações para serviços, configurações de recursos e redes de serviços. Para obter mais informações, consulte Compartilhe suas entidades VPC Lattice.
Ações políticas para a VPC Lattice
Compatível com ações de políticas: sim
Em uma declaração IAM de política, você pode especificar qualquer API ação de qualquer serviço que ofereça suporteIAM. Para VPC Lattice, use o seguinte prefixo com o nome da API ação:. vpc-lattice: Por exemplo: vpc-lattice:CreateService, vpc-lattice:CreateTargetGroup e vpc-lattice:PutAuthPolicy.
Para especificar várias ações em uma única declaração, separe-as com vírgulas, da seguinte maneira:
"Action": [ "vpc-lattice:action1", "vpc-lattice:action2" ]
Também é possível especificar várias ações usando asteriscos. Por exemplo, é possível especificar todas as ações cujos nomes comecem com a palavra Get, da seguinte maneira:
"Action": "vpc-lattice:Get*"
Para obter uma lista completa das API ações do VPC Lattice, consulte Ações definidas pelo Amazon VPC Lattice na Referência de autorização de serviço.
Recursos políticos para VPC Lattice
Compatível com recursos de políticas: sim
Em uma declaração IAM de política, o Resource elemento especifica o objeto ou objetos que a declaração abrange. Para a VPC Lattice, cada declaração IAM de política se aplica aos recursos que você especifica usando seusARNs.
O formato específico do Amazon Resource Name (ARN) depende do recurso. Ao fornecer umARN, substitua o italicized texto pelas informações específicas do recurso.
-
Inscrições em log de acesso:
"Resource": "arn:aws:vpc-lattice:region:account-id:accesslogsubscription/access-log-subscription-id" -
Receptores:
"Resource": "arn:aws:vpc-lattice:region:account-id:service/service-id/listener/listener-id" -
Gateways de recursos
"Resource": "arn:aws:vpc-lattice:region:account-id:resourcegateway/resource-gateway-id" -
Configuração de recursos
"Resource": "arn:aws:vpc-lattice:region:account-id:resourceconfiguration/resource-configuration-id" -
Regras:
"Resource": "arn:aws:vpc-lattice:region:account-id:service/service-id/listener/listener-id/rule/rule-id" -
Serviços:
"Resource": "arn:aws:vpc-lattice:region:account-id:service/service-id" -
Redes de serviços:
"Resource": "arn:aws:vpc-lattice:region:account-id:servicenetwork/service-network-id" -
Associações a serviço de rede de serviços:
"Resource": "arn:aws:vpc-lattice:region:account-id:servicenetworkserviceassociation/service-network-service-association-id" -
Associações de configuração de recursos de rede de serviços
"Resource": "arn:aws:vpc-lattice:region:account-id:servicenetworkresourceassociation/service-network-resource-association-id" -
VPCAssociações de rede de serviços:
"Resource": "arn:aws:vpc-lattice:region:account-id:servicenetworkvpcassociation/service-network-vpc-association-id" -
Grupos de destino:
"Resource": "arn:aws:vpc-lattice:region:account-id:targetgroup/target-group-id"
Chaves de condição de política para VPC Lattice
Compatível com chaves de condição de política específicas de serviço: sim
Os administradores podem usar AWS JSON políticas para especificar quem tem acesso ao quê. Ou seja, qual entidade principal pode executar ações em quais recursos e em que condições.
O elemento Condition (ou bloco de Condition) permite que você especifique condições nas quais uma declaração está em vigor. O elemento Condition é opcional. É possível criar expressões de condição que usam operadores de condição, como igual a ou menor que, para corresponder a condição na política aos valores na solicitação.
Se você especificar vários elementos de Condition em uma declaração ou várias chaves em um único elemento de Condition, a AWS os avaliará usando uma operação lógica AND. Se você especificar vários valores para uma única chave de condição, AWS avalia a condição usando uma OR operação lógica. Todas as condições devem ser atendidas antes que as permissões da instrução sejam concedidas.
Você também pode usar variáveis de espaço reservado ao especificar condições. Por exemplo, você pode conceder a um usuário do IAM permissão para acessar um recurso somente se ele estiver marcado com seu nome de usuário do IAM. Para obter mais informações, consulte Elementos de política do IAM: variáveis e tags no Guia do usuário do IAM.
AWS suporta chaves de condição globais e chaves de condição específicas do serviço. Para ver todas as chaves de condição AWS globais, consulte as chaves de contexto de condição AWS global no Guia IAM do usuário.
Para ver uma lista das chaves de condição do VPC Lattice, consulte Chaves de condição do Amazon VPC Lattice na Referência de autorização de serviço.
AWS suporta chaves de condição globais e chaves de condição específicas do serviço. Para obter informações sobre chaves de condição AWS globais, consulte chaves de contexto de condição AWS global no Guia IAM do usuário.
Listas de controle de acesso (ACLs) em VPC Lattice
SuportesACLs: Não
As listas de controle de acesso (ACLs) controlam quais diretores (membros da conta, usuários ou funções) têm permissões para acessar um recurso. ACLssão semelhantes às políticas baseadas em recursos, embora não usem o formato de documento JSON de política.
Controle de acesso baseado em atributos (ABAC) com Lattice VPC
Suportes ABAC (tags nas políticas): Sim
O controle de acesso baseado em atributos (ABAC) é uma estratégia de autorização que define permissões com base em atributos. Em AWS, esses atributos são chamados de tags. Você pode anexar tags a IAM entidades (usuários ou funções) e a muitos AWS recursos. Marcar entidades e recursos é a primeira etapa doABAC. Em seguida, você cria ABAC políticas para permitir operações quando a tag do diretor corresponde à tag do recurso que ele está tentando acessar.
ABACé útil em ambientes que estão crescendo rapidamente e ajuda em situações em que o gerenciamento de políticas se torna complicado.
Para controlar o acesso baseado em tags, forneça informações sobre as tags no elemento de condição de uma política usando as aws:ResourceTag/, key-nameaws:RequestTag/ ou chaves de condição key-nameaws:TagKeys.
Se um serviço oferecer suporte às três chaves de condição para cada tipo de recurso, o valor será Sim para o serviço. Se um serviço for compatível com todas as três chaves de condição somente de alguns tipos de recurso, o valor será Parcial.
Para obter mais informações sobreABAC, consulte Definir permissões com ABAC autorização no Guia IAM do usuário. Para ver um tutorial com etapas de configuraçãoABAC, consulte Usar controle de acesso baseado em atributos (ABAC) no Guia do IAMusuário.
Usando credenciais temporárias com VPC o Lattice
Compatível com credenciais temporárias: sim
Alguns Serviços da AWS não funcionam quando você faz login usando credenciais temporárias. Para obter informações adicionais, incluindo quais Serviços da AWS funcionam com credenciais temporárias, consulte Serviços da AWS esse trabalho IAM no Guia do IAM usuário.
Você está usando credenciais temporárias se fizer login AWS Management Console usando qualquer método, exceto um nome de usuário e senha. Por exemplo, quando você acessa AWS usando o link de login único (SSO) da sua empresa, esse processo cria automaticamente credenciais temporárias. Você também cria automaticamente credenciais temporárias quando faz login no console como usuário e alterna perfis. Para obter mais informações sobre a troca de funções, consulte Alternar de um usuário para uma IAM função (console) no Guia IAM do usuário.
Você pode criar manualmente credenciais temporárias usando o AWS CLI ou AWS API. Em seguida, você pode usar essas credenciais temporárias para acessar AWS. AWS recomenda que você gere credenciais temporárias dinamicamente em vez de usar chaves de acesso de longo prazo. Para obter mais informações, consulte Credenciais de segurança temporárias emIAM.
Funções de serviço para VPC Lattice
Compatível com perfis de serviço: não
Um perfil de serviço é um perfil do IAM que um serviço assume para realizar ações em seu nome. Um administrador do IAM pode criar, modificar e excluir um perfil de serviço do IAM. Para obter mais informações, consulte Criar uma função para delegar permissões a um AWS service (Serviço da AWS) no Guia do IAM usuário.
Atenção
Alterar as permissões de uma função de serviço pode interromper a funcionalidade do VPC Lattice. Edite as funções de serviço somente quando o VPC Lattice fornecer orientação para fazer isso.
Funções vinculadas a serviços para Lattice VPC
Suporte a perfis vinculados ao serviço: sim
Uma função vinculada ao serviço é um tipo de função de serviço vinculada a um. AWS service (Serviço da AWS) O serviço pode presumir o perfil de executar uma ação em seu nome. As funções vinculadas ao serviço aparecem em você Conta da AWS e são de propriedade do serviço. Um administrador do IAM pode visualizar, mas não pode editar as permissões para funções vinculadas ao serviço.
Para obter informações sobre como criar ou gerenciar funções vinculadas a serviços do VPC Lattice, consulte. Usando funções vinculadas a serviços para o Amazon Lattice VPC
