Beispiele für identitätsbasierte Direct-Connect-Richtlinien mit tagbasierten Bedingungen - AWS Direct Connect
Verknüpfen von virtuellen Direct-Connect-Schnittstellen basierend auf TagsSteuern des Zugriffs auf Anforderungen basierend auf TagsSteuern von Tag-Schlüsseln

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Beispiele für identitätsbasierte Direct-Connect-Richtlinien mit tagbasierten Bedingungen

Sie können den Zugriff auf Ressourcen und Anfragen anhand von Tag-Schlüsselbedingungen steuern. Sie können außerdem über eine Bedingung in Ihren IAM-Richtlinien steuern, ob spezifische Tag-Schlüssel an einer Ressource oder in einer Anfrage verwendet werden können.

Informationen zum Verwenden von Tags mit IAM-Richtlinien finden Sie unter Zugriffssteuerung mithilfe von Tags im IAM-Benutzerhandbuch.

Verknüpfen von virtuellen Direct-Connect-Schnittstellen basierend auf Tags

Im folgenden Beispiel wird gezeigt, wie Sie eine Richtlinie erstellen, über die die Zuordnung einer virtuellen Schnittstelle nur dann möglich ist, wenn das Tag den Umgebungsschlüssel und die preprod- oder Produktionswerte enthält. 

       {
      "Version": "2012-10-17",
      "Statement": [
        {
          "Effect": "Allow",
          "Action": [
            "directconnect:AssociateVirtualInterface"
          ],
          "Resource": "arn:aws:directconnect:*:*:dxvif/*",
          "Condition": {
            "StringEquals": {
              "aws:ResourceTag/environment": [
                "preprod",
                "production"
              ]
            }
          }
        },
        {
          "Effect": "Allow",
          "Action": "directconnect:DescribeVirtualInterfaces",
          "Resource": "*"
        }
      ]
    }

Steuern des Zugriffs auf Anforderungen basierend auf Tags

Sie können Bedingungen in Ihren IAM-Richtlinien verwenden, um zu steuern, welche Tag-Schlüssel-Wert-Paare in einer Anfrage übergeben werden können, die eine Ressource kennzeichnet. AWS Das folgende Beispiel zeigt, wie Sie eine Richtlinie erstellen könnten, mit der die AWS Direct Connect TagResource Aktion nur dann Tags an eine virtuelle Schnittstelle angehängt werden kann, wenn das Tag den Umgebungsschlüssel und die Preprod- oder Production-Werte enthält. Als bewährte Methode verwenden Sie den Modifikator ForAllValues mit dem Bedingungsschlüssel aws:TagKeys, um anzugeben, dass in der Anfrage nur die Schlüsselumgebung zulässig ist. 

    {
        "Version": "2012-10-17",
        "Statement": {
            "Effect": "Allow",
            "Action": "directconnect:TagResource",
            "Resource": "arn:aws:directconnect:*:*:dxvif/*",
            "Condition": {
                "StringEquals": {
                    "aws:RequestTag/environment": [
                        "preprod",
                        "production"
                    ]
                },
                "ForAllValues:StringEquals": {"aws:TagKeys": "environment"}
            }
        }
    }

Steuern von Tag-Schlüsseln

Sie können eine Bedingung in Ihren IAM-Richtlinien verwenden, um zu steuern, ob spezifische Tag-Schlüssel an einer Ressource oder in einer Anforderung verwendet werden können.

Im folgenden Beispiel wird gezeigt, wie Sie eine Richtlinie erstellen, die es Ihnen ermöglicht, Ressourcen zu markieren, jedoch nur mit der Tag-Schlüssel-Umgebung

     {
      "Version": "2012-10-17",
      "Statement": {
        "Effect": "Allow",
        "Action": "directconnect:TagResource",
        "Resource": "*",
        "Condition": {
          "ForAllValues:StringEquals": {
            "aws:TagKeys": [
              "environment"
            ]
          }
        }
      }
    }