As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Gerenciamento de identidade e acesso no Amazon VPC Transit Gateways
AWS usa credenciais de segurança para identificá-lo e conceder acesso aos seus AWS recursos. Você pode usar os recursos do AWS Identity and Access Management (IAM) para permitir que outros usuários, serviços e aplicativos usem seus AWS recursos de forma total ou limitada, sem compartilhar suas credenciais de segurança.
Por padrão, os usuários do IAM não têm permissão para criar, visualizar ou modificar AWS recursos. Para permitir que um usuário acesse recursos (como um gateway de trânsito) para executar tarefas, é necessário criar uma política do IAM que conceda permissão ao usuário para usar os recursos e as ações de API específicos de que precisa e, sem seguida, anexar a política ao grupo ao qual esse usuário pertence. Ao anexar uma política a um usuário ou grupo de usuários, isso concede ou nega aos usuários permissão para realizar as tarefas especificadas nos atributos especificados.
Para trabalhar com um gateway de trânsito, uma das seguintes políticas AWS gerenciadas pode atender às suas necessidades:
Exemplos de políticas para gerenciar gateways de trânsito
Veja a seguir exemplos de políticas do IAM para trabalhar com gateways de trânsito.
Criar um gateway de trânsito com tags obrigatórias
O exemplo a seguir permite que os usuários criem gateways de trânsito. A chave de condição aws:RequestTag exige que os usuários marquem o gateway de trânsito com a tag stack=prod. A chave de condição aws:TagKeys usa o modificador ForAllValues para indicar que somente a chave stack é permitida na solicitação (nenhuma outra tag pode ser especificada). Se os usuários não passarem essa tag específica quando criarem o gateway de trânsito, ou se não especificarem tags, a solicitação falhará.
A segunda declaração usa a chave de condição ec2:CreateAction para permitir que os usuários criem tags somente no contexto de CreateTransitGateway.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowCreateTaggedTGWs", "Effect": "Allow", "Action": "ec2:CreateTransitGateway", "Resource": "arn:aws:ec2:region:account-id:transit-gateway/*", "Condition": { "StringEquals": { "aws:RequestTag/stack": "prod" }, "ForAllValues:StringEquals": { "aws:TagKeys": [ "stack" ] } } }, { "Effect": "Allow", "Action": [ "ec2:CreateTags" ], "Resource": "arn:aws:ec2:region:account-id:transit-gateway/*", "Condition": { "StringEquals": { "ec2:CreateAction": "CreateTransitGateway" } } } ] }
Trabalhar com tabelas de rotas do gateway de trânsito
O exemplo a seguir permite que os usuários criem e excluam tabelas de rotas do gateway de trânsito somente para um gateway de trânsito específico (tgw-11223344556677889). Os usuários também podem criar e substituir rotas em qualquer tabela de rotas do gateway de trânsito, mas somente para anexos que tenham a tag network=new-york-office.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:DeleteTransitGatewayRouteTable", "ec2:CreateTransitGatewayRouteTable" ], "Resource": [ "arn:aws:ec2:region:account-id:transit-gateway/tgw-11223344556677889", "arn:aws:ec2:*:*:transit-gateway-route-table/*" ] }, { "Effect": "Allow", "Action": [ "ec2:CreateTransitGatewayRoute", "ec2:ReplaceTransitGatewayRoute" ], "Resource": "arn:aws:ec2:*:*:transit-gateway-attachment/*", "Condition": { "StringEquals": { "ec2:ResourceTag/network": "new-york-office" } } }, { "Effect": "Allow", "Action": [ "ec2:CreateTransitGatewayRoute", "ec2:ReplaceTransitGatewayRoute" ], "Resource": "arn:aws:ec2:*:*:transit-gateway-route-table/*" } ] }
