本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Amazon VPC Transit Gateways 中的身分和存取管理
AWS 使用安全登入資料來識別您的身分,並授予您對 資源的 AWS 存取權。您可以使用 AWS Identity and Access Management (IAM) 的功能,允許其他使用者、服務和應用程式以完全或有限的方式使用您的 AWS 資源,而無需分享您的安全憑證。
根據預設,IAM使用者沒有建立、檢視或修改 AWS 資源的許可。若要允許使用者存取傳輸閘道等資源並執行任務,您必須建立IAM政策,以授予使用者使用所需特定資源和API動作的許可,然後將政策連接至使用者所屬的群組。將政策連接到使用者或使用者群組時,政策會允許或拒絕使用者在特定資源上執行特定任務的許可。
若要使用傳輸閘道,下列其中一個 AWS 受管政策可能符合您的需求:
管理傳輸閘道的政策範例
以下是使用傳輸閘道的範例IAM政策。
建立具有必要標籤的傳輸閘道
以下範例可讓使用者建立傳輸閘道。aws:RequestTag 條件金鑰需要使用者使用標籤 stack=prod 標記傳輸閘道。aws:TagKeys 條件金鑰使用 ForAllValues 修飾詞,表示請求中只允許 stack 金鑰 (不可指定其他標籤)。如果使用者在建立傳輸閘道時未傳遞此特定標籤,或者他們完全沒有指定標籤,則請求會失敗。
第二個陳述式使用 ec2:CreateAction 條件鍵限制使用者在 CreateTransitGateway 的條件下才可建立標籤。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowCreateTaggedTGWs", "Effect": "Allow", "Action": "ec2:CreateTransitGateway", "Resource": "arn:aws:ec2:region:account-id:transit-gateway/*", "Condition": { "StringEquals": { "aws:RequestTag/stack": "prod" }, "ForAllValues:StringEquals": { "aws:TagKeys": [ "stack" ] } } }, { "Effect": "Allow", "Action": [ "ec2:CreateTags" ], "Resource": "arn:aws:ec2:region:account-id:transit-gateway/*", "Condition": { "StringEquals": { "ec2:CreateAction": "CreateTransitGateway" } } } ] }
使用傳輸閘道路由表
下列範例可讓使用者僅針對特定傳輸閘道建立和刪除傳輸閘道路由表 (tgw-11223344556677889)。使用者也可以在任何傳輸閘道路由表中建立和取代路由,但僅適用於具有標籤 network=new-york-office 的附件。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:DeleteTransitGatewayRouteTable", "ec2:CreateTransitGatewayRouteTable" ], "Resource": [ "arn:aws:ec2:region:account-id:transit-gateway/tgw-11223344556677889", "arn:aws:ec2:*:*:transit-gateway-route-table/*" ] }, { "Effect": "Allow", "Action": [ "ec2:CreateTransitGatewayRoute", "ec2:ReplaceTransitGatewayRoute" ], "Resource": "arn:aws:ec2:*:*:transit-gateway-attachment/*", "Condition": { "StringEquals": { "ec2:ResourceTag/network": "new-york-office" } } }, { "Effect": "Allow", "Action": [ "ec2:CreateTransitGatewayRoute", "ec2:ReplaceTransitGatewayRoute" ], "Resource": "arn:aws:ec2:*:*:transit-gateway-route-table/*" } ] }
