Identity and Access Management pour vos passerelles de transit - Amazon VPC

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Identity and Access Management pour vos passerelles de transit

AWS utilise les informations d'identification de sécurité pour identifier et vous accorder l'accès à vos ressources AWS. Vous pouvez utiliser les fonctions de AWS Identity and Access Management (IAM) pour permettre à d'autres utilisateurs, services et applications d'utiliser vos ressources AWS pleinement ou de façon limitée, sans partager vos autorisations de sécurité.

Par défaut, les utilisateurs IAM ne sont pas autorisés à créer, afficher ou modifier les ressources AWS. Pour permettre à un utilisateur d'accéder aux ressources, par exemple une passerelle de transit, et d'exécuter des tâches, vous devez créer une politique IAM qui accorde à l'utilisateur l'autorisation d'utiliser les ressources spécifiques et les actions d'API dont il a besoin, puis d'attacher la politique au groupe auquel cet utilisateur appartient. Quand vous attachez une stratégie à un utilisateur ou à un groupe d'utilisateurs, elle accorde ou refuse aux utilisateurs l'autorisation d'exécuter les tâches spécifiées sur les ressources spécifiées.

Pour travailler avec une passerelle de transit, l'une des stratégies gérées par AWS suivantes peut répondre à vos besoins :

Exemples de stratégies pour gérer des passerelles de transit

Voici des exemples de stratégies IAM pour l'utilisation des passerelles de transit.

Créer une passerelle de transit avec les balises requises

L'exemple suivant permet aux utilisateurs de créer une passerelle de transit. La clé de condition aws:RequestTag oblige les utilisateurs à baliser la passerelle de transit avec la balise stack=prod. La clé de condition aws:TagKeys utilise le modificateur ForAllValues pour indiquer que seule la clé stack est autorisée dans la demande. Aucune autre balise ne peut être spécifiée. Si les utilisateurs n'utilisent pas cette balise spécifique lorsqu'ils créent la passerelle de transit, ou s'ils ne spécifient aucune balise, la demande échoue.

La deuxième déclaration utilise la clé de condition ec2:CreateAction pour permettre aux utilisateurs de créer des balises uniquement dans le contexte de CreateTransitGateway.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowCreateTaggedTGWs", "Effect": "Allow", "Action": "ec2:CreateTransitGateway", "Resource": "arn:aws:ec2:region:account-id:transit-gateway/*", "Condition": { "StringEquals": { "aws:RequestTag/stack": "prod" }, "ForAllValues:StringEquals": { "aws:TagKeys": [ "stack" ] } } }, { "Effect": "Allow", "Action": [ "ec2:CreateTags" ], "Resource": "arn:aws:ec2:region:account-id:transit-gateway/*", "Condition": { "StringEquals": { "ec2:CreateAction": "CreateTransitGateway" } } } ] }
Utilisation des tables de routage de passerelle de transit

L'exemple suivant permet aux utilisateurs de créer et de supprimer des tables de routage de passerelle de transit pour une seule passerelle de transit uniquement (tgw-11223344556677889). Les utilisateurs peuvent également créer et remplacer des routes dans n'importe quelle table de routage de passerelle de transit, mais uniquement pour les attachements qui ont la balise network=new-york-office.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:DeleteTransitGatewayRouteTable", "ec2:CreateTransitGatewayRouteTable" ], "Resource": [ "arn:aws:ec2:region:account-id:transit-gateway/tgw-11223344556677889", "arn:aws:ec2:*:*:transit-gateway-route-table/*" ] }, { "Effect": "Allow", "Action": [ "ec2:CreateTransitGatewayRoute", "ec2:ReplaceTransitGatewayRoute" ], "Resource": "arn:aws:ec2:*:*:transit-gateway-attachment/*", "Condition": { "StringEquals": { "ec2:ResourceTag/network": "new-york-office" } } }, { "Effect": "Allow", "Action": [ "ec2:CreateTransitGatewayRoute", "ec2:ReplaceTransitGatewayRoute" ], "Resource": "arn:aws:ec2:*:*:transit-gateway-route-table/*" } ] }

Exemples de politiques pour gérer AWS Network Manager

Pour des exemples de politiques, voir Exemples de politiques pour gérer Network Manager dans le Guide de l'utilisateur AWS Global Networks pour les passerelles de transit.