AWS Transfer Family exemples de politiques basées sur des balises - AWS Transfer Family
Utilisation de balises pour contrôler l'accès aux ressources

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

AWS Transfer Family exemples de politiques basées sur des balises

Vous trouverez ci-dessous des exemples de contrôle de l'accès aux AWS Transfer Family ressources à l'aide de balises.

Utilisation de balises pour contrôler l'accès aux ressources AWS Transfer Family

Les conditions figurant dans les IAM politiques font partie de la syntaxe que vous utilisez pour spécifier les autorisations relatives aux AWS Transfer Family ressources. Vous pouvez contrôler l'accès aux AWS Transfer Family ressources (telles que les utilisateurs, les serveurs, les rôles et autres entités) en fonction des balises associées à ces ressources. Les balises sont des paires clé-valeur. Pour plus d'informations sur le balisage des ressources, consultez la section Marquage AWS des ressources dans le. Références générales AWS

Dans AWS Transfer Family, les ressources peuvent avoir des balises, et certaines actions peuvent inclure des balises. Lorsque vous créez une IAM politique, vous pouvez utiliser les clés de condition des balises pour contrôler les éléments suivants :

  • Quels utilisateurs peuvent effectuer des actions sur une AWS Transfer Family ressource, en fonction des balises que possède la ressource.

  • quelles balises peuvent être transmises dans une demande d'action ;

  • si des clés de balise spécifiques peuvent être utilisées dans une demande.

En utilisant le contrôle d'accès basé sur des balises, vous pouvez appliquer un contrôle plus fin qu'au API niveau. Vous pouvez également appliquer un contrôle plus dynamique qu'en utilisant le contrôle d'accès basé sur les ressources. Vous pouvez créer des IAM politiques qui autorisent ou refusent une opération en fonction des balises fournies dans la demande (balises de demande). Vous pouvez également créer des IAM politiques basées sur les balises de la ressource utilisée (balises de ressource). En général, les balises de ressources concernent les balises déjà présentes sur les ressources, tandis que les balises de requête sont destinées à être utilisées lorsque vous ajoutez des balises à une ressource ou que vous en supprimez.

Pour connaître la syntaxe et la sémantique complètes des clés de condition des balises, voir Contrôle de l'accès aux AWS ressources à l'aide des balises de ressources dans le Guide de l'IAMutilisateur. Pour plus de détails sur la définition de IAM politiques avec API Gateway, voir Contrôler l'accès à et API avec IAM des autorisations dans le Guide du développeur de API Gateway.

Exemple 1 : Refuser les actions en fonction des balises de ressources

Vous pouvez refuser l'exécution d'une action sur une ressource en fonction de balises. L'exemple de politique suivant refuseTagResource,UntagResource,StartServer, StopServerDescribeServer, et les DescribeUser opérations si la ressource utilisateur ou serveur est étiquetée avec la clé stage et la valeurprod.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "transfer:TagResource",
                "transfer:UntagResource",
                "transfer:StartServer",
                "transfer:StopServer", 
                "transfer:DescribeServer",
                "transfer:DescribeUser
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/stage": "prod"
                }
            }
        }
    ]
}

Exemple 2 : Autoriser les actions en fonction des balises de ressources

Vous pouvez autoriser l'exécution d'une action sur une ressource en fonction de balises. L'exemple de politique suivant autorise les DescribeUser opérations TagResource UntagResourceStartServer,StopServer,DescribeServer,, et si la ressource utilisateur ou serveur est étiquetée avec la clé stage et la valeurprod.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "transfer:TagResource",
                "transfer:UntagResource",
                "transfer:StartServer",
                "transfer:StopServer", 
                "transfer:DescribeServer",
                "transfer:DescribeUser                            
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/stage": "prod"
                }
            }
        }
    ]
}

Exemple 3 : refuser la création d'un utilisateur ou d'un serveur en fonction des balises de requête

L'exemple de politique suivant contient deux déclarations. La première instruction refuse l'CreateServeropération sur toutes les ressources si la clé du centre de coûts associée à la balise n'a pas de valeur.

La deuxième instruction refuse l'CreateServeropération si la clé du centre de coûts pour la balise contient une valeur autre que 1, 2 ou 3.

Note

Cette politique permet de créer ou de supprimer une ressource contenant une clé appelée costcenter et une valeur de 12, ou3.

{
    "Version": "2012-10-17",
    "Statement": [
        { 
            "Effect": "Deny",
            "Action": [
                "transfer:CreateServer"
            ],
            "Resource": [
                "*"
            ],
            "Condition": {
                "Null":  {
                    "aws:RequestTag/costcenter": "true"
                }
            }
        },
        {
            "Effect": "Deny",
            "Action": "transfer:CreateServer",
            "Resource": [
                "*"
            ],
            "Condition": {
                "ForAnyValue:StringNotEquals": {
                    "aws:RequestTag/costcenter": [
                        "1",
                        "2",
                        "3"
                    ]
                }
            }
        }           
    ]
}