AWS Transfer Family contoh kebijakan berbasis tag - AWS Transfer Family
Menggunakan tag untuk mengontrol akses sumber daya

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

AWS Transfer Family contoh kebijakan berbasis tag

Berikut ini adalah contoh cara mengontrol akses ke AWS Transfer Family sumber daya berdasarkan tag.

Menggunakan tag untuk mengontrol akses ke AWS Transfer Family sumber daya

Ketentuan dalam kebijakan IAM adalah bagian dari sintaks yang Anda gunakan untuk menentukan izin ke sumber daya. AWS Transfer Family Anda dapat mengontrol akses ke AWS Transfer Family sumber daya (seperti pengguna, server, peran, dan entitas lain) berdasarkan tag pada sumber daya tersebut. Tag adalah pasangan kunci-nilai. Untuk informasi selengkapnya tentang menandai sumber daya, lihat Menandai AWS sumber daya di. Referensi Umum AWS

Di AWS Transfer Family, sumber daya dapat memiliki tag, dan beberapa tindakan dapat menyertakan tag. Saat membuat kebijakan IAM, Anda dapat menggunakan kunci syarat tanda berikut:

  • Pengguna mana yang dapat melakukan tindakan pada AWS Transfer Family sumber daya, berdasarkan tag yang dimiliki sumber daya.

  • Tag apa yang dapat diteruskan dalam permintaan tindakan.

  • Apakah kunci tag tertentu dapat digunakan dalam permintaan.

Dengan menggunakan kontrol akses berbasis tag, Anda dapat menerapkan kontrol yang lebih baik daripada di API level. Anda juga dapat menerapkan kontrol yang lebih dinamis daripada dengan menggunakan kontrol akses berbasis sumber daya. Anda dapat membuat kebijakan IAM yang mengizinkan atau menolak operasi berdasarkan tag yang disediakan dalam permintaan (tag permintaan). Anda juga dapat membuat kebijakan IAM berdasarkan tag pada sumber daya yang sedang dioperasikan (tag sumber daya). Secara umum, tag sumber daya adalah untuk tag yang sudah ada di sumber daya, tag permintaan digunakan saat Anda menambahkan tag atau menghapus tag dari sumber daya.

Untuk sintaks dan semantik lengkap kunci kondisi tag, lihat Mengontrol akses ke AWS sumber daya menggunakan tag sumber daya di Panduan Pengguna IAM. Untuk detail tentang menentukan kebijakan IAM dengan API Gateway, lihat Mengontrol akses ke API dengan izin IAM di Panduan Pengembang API Gateway.

Contoh 1: Tolak tindakan berdasarkan tag sumber daya

Anda dapat menolak tindakan yang akan dilakukan pada sumber daya berdasarkan tag. Contoh kebijakan berikut menyangkalTagResource,UntagResource,StartServer,StopServer,DescribeServer, dan DescribeUser operasi jika sumber daya pengguna atau server ditandai dengan kunci stage dan nilainya. prod

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "transfer:TagResource",
                "transfer:UntagResource",
                "transfer:StartServer",
                "transfer:StopServer", 
                "transfer:DescribeServer",
                "transfer:DescribeUser
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/stage": "prod"
                }
            }
        }
    ]
}

Contoh 2: Izinkan tindakan berdasarkan tag sumber daya

Anda dapat mengizinkan tindakan dilakukan pada sumber daya berdasarkan tag. Contoh kebijakan berikut memungkinkanTagResource,UntagResource,StartServer,StopServer,DescribeServer, dan DescribeUser operasi jika sumber daya pengguna atau server ditandai dengan kunci stage dan nilainyaprod.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "transfer:TagResource",
                "transfer:UntagResource",
                "transfer:StartServer",
                "transfer:StopServer", 
                "transfer:DescribeServer",
                "transfer:DescribeUser                            
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/stage": "prod"
                }
            }
        }
    ]
}

Contoh 3: Tolak pembuatan pengguna atau server berdasarkan tag permintaan

Contoh kebijakan berikut berisi dua pernyataan. Pernyataan pertama menyangkal CreateServer operasi pada semua sumber daya jika kunci pusat biaya untuk tag tidak memiliki nilai.

Pernyataan kedua menyangkal CreateServer operasi jika kunci pusat biaya untuk tag berisi nilai lain selain 1, 2 atau 3.

catatan

Kebijakan ini memungkinkan pembuatan atau penghapusan sumber daya yang berisi kunci yang dipanggil costcenter dan nilai1,2, atau3.

{
    "Version": "2012-10-17",
    "Statement": [
        { 
            "Effect": "Deny",
            "Action": [
                "transfer:CreateServer"
            ],
            "Resource": [
                "*"
            ],
            "Condition": {
                "Null":  {
                    "aws:RequestTag/costcenter": "true"
                }
            }
        },
        {
            "Effect": "Deny",
            "Action": "transfer:CreateServer",
            "Resource": [
                "*"
            ],
            "Condition": {
                "ForAnyValue:StringNotEquals": {
                    "aws:RequestTag/costcenter": [
                        "1",
                        "2",
                        "3"
                    ]
                }
            }
        }           
    ]
}