AWS Transfer Family Beispiele für Tag-basierte Richtlinien - AWS Transfer Family
Verwendung von Tags zur Steuerung des Ressourcenzugriffs

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

AWS Transfer Family Beispiele für Tag-basierte Richtlinien

Im Folgenden finden Sie Beispiele dafür, wie Sie den Zugriff auf AWS Transfer Family Ressourcen anhand von Tags steuern können.

Verwenden von Tags zur Steuerung des Zugriffs auf AWS Transfer Family -Ressourcen

Bedingungen in IAM Richtlinien sind Teil der Syntax, mit der Sie Berechtigungen für AWS Transfer Family Ressourcen angeben. Sie können den Zugriff auf AWS Transfer Family Ressourcen (wie Benutzer, Server, Rollen und andere Entitäten) anhand von Tags auf diesen Ressourcen steuern. Tags sind Schlüssel-Wert-Paare, Weitere Informationen zum Markieren von Ressourcen finden Sie unter Taggen von AWS Ressourcen in der. Allgemeine AWS-Referenz

In AWS Transfer Family können Ressourcen Tags haben, und einige Aktionen können Tags enthalten. Wenn Sie eine IAM Richtlinie erstellen, können Sie mithilfe von Tag-Bedingungsschlüsseln Folgendes steuern:

  • Welche Benutzer auf der Grundlage der Tags, die die AWS Transfer Family Ressource besitzt, Aktionen an einer Ressource ausführen können.

  • Welche Tags in der Anforderung einer Aktion übergeben werden können.

  • Ob bestimmte Tag-Schlüssel in einer Anforderung verwendet werden können.

Durch die Verwendung der tagbasierten Zugriffskontrolle können Sie eine genauere Kontrolle als auf der API Ebene anwenden. Sie können auch eine dynamischere Steuerung anwenden als mit einer ressourcenbasierten Zugriffskontrolle. Sie können IAM Richtlinien erstellen, die einen Vorgang auf der Grundlage der in der Anfrage angegebenen Tags (Anforderungs-Tags) zulassen oder verweigern. Sie können auch IAM Richtlinien erstellen, die auf Tags der Ressource basieren, auf der gearbeitet wird (Ressourcen-Tags). Im Allgemeinen sind Ressourcen-Tags für Tags vorgesehen, die sich bereits auf Ressourcen befinden. Anforderungs-Tags sind für das Hinzufügen oder Entfernen von Tags zu einer Ressource vorgesehen.

Die vollständige Syntax und Semantik von Tag-Bedingungsschlüsseln finden Sie im IAMBenutzerhandbuch unter Steuern des Zugriffs auf AWS Ressourcen mithilfe von Ressourcen-Tags. Einzelheiten zur Angabe von IAM Richtlinien mit API Gateway finden Sie unter Steuern des Zugriffs auf und API mit IAM Berechtigungen im APIGateway Developer Guide.

Beispiel 1: Verweigern Sie Aktionen, die auf Ressourcen-Tags basieren

Sie können die Ausführung einer Aktion an einer Ressource auf der Grundlage von Tags verweigern. Die folgende Beispielrichtlinie verweigertTagResource,,, UntagResourceStartServer, und DescribeUser Operationen StopServerDescribeServer, wenn die Benutzer- oder Serverressource mit dem Schlüssel stage und dem Wert prod gekennzeichnet ist.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "transfer:TagResource",
                "transfer:UntagResource",
                "transfer:StartServer",
                "transfer:StopServer", 
                "transfer:DescribeServer",
                "transfer:DescribeUser
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/stage": "prod"
                }
            }
        }
    ]
}

Beispiel 2: Aktionen auf der Grundlage von Ressourcen-Tags zulassen

Sie können zulassen, dass eine Aktion für eine Ressource ausgeführt wird, die auf Tags basiert. Die folgende Beispielrichtlinie ermöglichtTagResource,UntagResource,, StartServerStopServer, und DescribeUser OperationenDescribeServer, wenn die Benutzer- oder Serverressource mit dem Schlüssel stage und dem Wert gekennzeichnet istprod.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "transfer:TagResource",
                "transfer:UntagResource",
                "transfer:StartServer",
                "transfer:StopServer", 
                "transfer:DescribeServer",
                "transfer:DescribeUser                            
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/stage": "prod"
                }
            }
        }
    ]
}

Beispiel 3: Verweigern Sie die Erstellung eines Benutzers oder Servers auf der Grundlage von Anforderungs-Tags

Die folgende Beispielrichtlinie enthält zwei Anweisungen. Die erste Anweisung verweigert den CreateServer Vorgang für alle Ressourcen, wenn der Kostenstellenschlüssel für das Tag keinen Wert hat.

Die zweite Anweisung lehnt den CreateServer Vorgang ab, wenn der Kostenstellenschlüssel für das Tag einen anderen Wert als 1, 2 oder 3 enthält.

Anmerkung

Diese Richtlinie ermöglicht das Erstellen oder Löschen einer Ressource, die einen Schlüssel namens costcenter und den Wert 12, oder 3 enthält.

{
    "Version": "2012-10-17",
    "Statement": [
        { 
            "Effect": "Deny",
            "Action": [
                "transfer:CreateServer"
            ],
            "Resource": [
                "*"
            ],
            "Condition": {
                "Null":  {
                    "aws:RequestTag/costcenter": "true"
                }
            }
        },
        {
            "Effect": "Deny",
            "Action": "transfer:CreateServer",
            "Resource": [
                "*"
            ],
            "Condition": {
                "ForAnyValue:StringNotEquals": {
                    "aws:RequestTag/costcenter": [
                        "1",
                        "2",
                        "3"
                    ]
                }
            }
        }           
    ]
}