将基于标签的策略与 AWS Global Accelerator 配合使用 - AWS Global Accelerator

将基于标签的策略与 AWS Global Accelerator 配合使用

在设计 IAM 策略时,您可以通过授予对特定资源的访问权限来设置精细权限。但随着您管理的资源数量的增加,此任务会变得日益复杂。为资源添加标签后在策略声明条件中使用标签可以简化这一任务。您可以向具有特定标签的任何资源批量授予访问权限。在创建资源时,或在以后更新资源时,您可以将此标签反复应用于相关资源。

使用条件中的标签是控制对资源和请求的访问的一种方法。标签可以附加到资源,也可以从请求传入支持标签的服务。在 Global Accelerator 中,只有加速器可以包含标签。有关在 Global Accelerator 中添加标签的更多信息,请参阅在 AWS Global Accelerator 中添加标签

在创建 IAM 策略时,您可以使用标签条件键来控制:

  • 哪些用户可以基于加速器已有的标签对加速器执行操作。

  • 哪些标签可以在操作的请求中传递。

  • 是否特定标签键可在请求中使用。

例如,AWS GlobalAcceleratorFullAccess 托管用户策略为用户提供对任意资源执行任意 Global Accelerator 操作的无限权限。以下策略限制此权力并拒绝未经授权的用户对生产加速器执行任意 Global Accelerator 操作的权限。除托管用户策略外,客户的管理员还必须将此 IAM 策略附加到未经授权的 IAM 用户。

{ 
   "Version":"2012-10-17",
   "Statement":[ 
      { 
         "Effect":"Deny",
         "Action":"*",
         "Resource":"*",
         "Condition":{ 
            "ForAnyValue:StringEquals":{ 
               "aws:RequestTag/stage":"prod"
            }
         }
      },
      { 
         "Effect":"Deny",
         "Action":"*",
         "Resource":"*",
         "Condition":{ 
            "ForAnyValue:StringEquals":{ 
               "aws:ResourceTag/stage":"prod"
            }
         }
      }
   ]
}

有关标签条件键的完整语法和语义,请参阅《IAM 用户指南》中的使用 IAM 标签控制访问