AWS Transfer Family esempi di policy basate su tag - AWS Transfer Family
Utilizzo dei tag per controllare l'accesso alle risorse

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

AWS Transfer Family esempi di policy basate su tag

Di seguito sono riportati alcuni esempi di come controllare l'accesso alle AWS Transfer Family risorse in base ai tag.

Utilizzo dei tag per controllare l'accesso alle risorse AWS Transfer Family

Le condizioni nelle IAM politiche fanno parte della sintassi utilizzata per specificare le autorizzazioni per AWS Transfer Family le risorse. È possibile controllare l'accesso alle AWS Transfer Family risorse (come utenti, server, ruoli e altre entità) in base ai tag presenti su tali risorse. I tag sono coppie chiave-valore. Per ulteriori informazioni sull'etichettatura delle risorse, consulta Tagging AWS resources in. Riferimenti generali di AWS

Nel AWS Transfer Family, le risorse possono avere tag e alcune azioni possono includere tag. Quando crei una IAM policy, puoi utilizzare i tasti di condizione dei tag per controllare quanto segue:

  • Quali utenti possono eseguire azioni su una AWS Transfer Family risorsa, in base ai tag presenti nella risorsa.

  • Quali tag possono essere passati in una richiesta di operazione;

  • Se delle chiavi di tag specifiche possono essere utilizzate in una richiesta.

Utilizzando il controllo degli accessi basato su tag, è possibile applicare un controllo più preciso rispetto al API livello. È inoltre possibile applicare un controllo più dinamico rispetto al controllo degli accessi basato sulle risorse. È possibile creare IAM politiche che consentano o rifiutino un'operazione in base ai tag forniti nella richiesta (tag di richiesta). È inoltre possibile creare IAM politiche basate su tag sulla risorsa su cui viene utilizzata (tag di risorsa). In generale, i tag di risorsa sono per i tag che sono già presenti sulle risorse, i tag di richiesta servono per aggiungere o rimuovere tag da una risorsa.

Per la sintassi e la semantica complete delle chiavi di condizione dei tag, consulta Controllare l'accesso alle AWS risorse utilizzando i tag delle risorse nella Guida per l'IAMutente. Per informazioni dettagliate sulla specificazione delle IAM politiche con API Gateway, consulta Control access to an API with IAM permissions nella Gateway Developer Guide. API

Esempio 1: nega le azioni basate sui tag delle risorse

Puoi negare l'esecuzione di un'azione su una risorsa in base ai tag. La politica di esempio seguente negaTagResource,UntagResource, StartServer StopServerDescribeServer, e DescribeUser le operazioni se la risorsa utente o del server è contrassegnata con la chiave stage e il valore. prod

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "transfer:TagResource",
                "transfer:UntagResource",
                "transfer:StartServer",
                "transfer:StopServer", 
                "transfer:DescribeServer",
                "transfer:DescribeUser
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/stage": "prod"
                }
            }
        }
    ]
}

Esempio 2: consenti azioni basate sui tag delle risorse

Puoi consentire l'esecuzione di un'azione su una risorsa in base ai tag. La seguente politica di esempio consente TagResourceUntagResource,StartServer, StopServerDescribeServer, e DescribeUser operazioni se la risorsa utente o del server è contrassegnata con la chiave stage e il valoreprod.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "transfer:TagResource",
                "transfer:UntagResource",
                "transfer:StartServer",
                "transfer:StopServer", 
                "transfer:DescribeServer",
                "transfer:DescribeUser                            
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/stage": "prod"
                }
            }
        }
    ]
}

Esempio 3: nega la creazione di un utente o di un server in base ai tag di richiesta

La seguente politica di esempio contiene due istruzioni. La prima istruzione nega l'CreateServeroperazione su tutte le risorse se la chiave del centro di costo per il tag non ha un valore.

La seconda istruzione nega l'CreateServeroperazione se la chiave del centro di costo per il tag contiene qualsiasi altro valore oltre a 1, 2 o 3.

Nota

Questa politica consente di creare o eliminare una risorsa che contiene una chiave chiamata costcenter e un valore di 12, o. 3

{
    "Version": "2012-10-17",
    "Statement": [
        { 
            "Effect": "Deny",
            "Action": [
                "transfer:CreateServer"
            ],
            "Resource": [
                "*"
            ],
            "Condition": {
                "Null":  {
                    "aws:RequestTag/costcenter": "true"
                }
            }
        },
        {
            "Effect": "Deny",
            "Action": "transfer:CreateServer",
            "Resource": [
                "*"
            ],
            "Condition": {
                "ForAnyValue:StringNotEquals": {
                    "aws:RequestTag/costcenter": [
                        "1",
                        "2",
                        "3"
                    ]
                }
            }
        }           
    ]
}