翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
タグベースの条件を使用した Direct Connect アイデンティティベースのポリシーの例
リソースおよびリクエストへのアクセスを制御するには、タグキーの条件を使用します。また、IAM ポリシーで条件を使用して、リソースまたはリクエストで特定のタグキーを使用できるかどうかを制御することもできます。
IAM ポリシーでタグを使用する方法については、「IAM ユーザーガイド」の「タグを使用してアクセスを制御する」を参照してください。
タグに基づく Direct Connect 仮想インターフェイスの関連付け
次の例は、タグに環境キーと preprod または production 値が含まれている場合にのみ、仮想インターフェイスを関連付けることを許可するポリシーを作成する方法を示しています。
- JSON
-
-
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"directconnect:AssociateVirtualInterface"
],
"Resource": "arn:aws:directconnect:*:*:dxvif/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/environment": [
"preprod",
"production"
]
}
}
},
{
"Effect": "Allow",
"Action": "directconnect:DescribeVirtualInterfaces",
"Resource": "*"
}
]
}
タグに基づくリクエストへのアクセスの制御
IAM ポリシーの条件を使用して、 AWS リソースにタグを付けるリクエストで渡すことができるタグキーと値のペアを制御できます。次の例は、 AWS Direct Connect TagResource アクションを使用して、タグに環境キーと preprod 値または本番値が含まれている場合にのみ、仮想インターフェイスにタグをアタッチすることを許可するポリシーを作成する方法を示しています。ベストプラクティスとして、ForAllValues 修飾子を aws:TagKeys 条件キーとともに使用して、リクエストでキー環境のみが許可されることを示します。
- JSON
-
-
{
"Version": "2012-10-17",
"Statement": {
"Effect": "Allow",
"Action": "directconnect:TagResource",
"Resource": "arn:aws:directconnect:*:*:dxvif/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/environment": [
"preprod",
"production"
]
},
"ForAllValues:StringEquals": {"aws:TagKeys": "environment"}
}
}
}
タグキーの制御
IAM ポリシーで条件を使用して、リソースまたはリクエストで特定のタグキーを使用できるかどうか制御できます。
次の例は、タグキー環境のみを使用して、リソースにタグを付けることを許可するポリシーを作成する方法を示しています。
- JSON
-
-
{
"Version": "2012-10-17",
"Statement": {
"Effect": "Allow",
"Action": "directconnect:TagResource",
"Resource": "*",
"Condition": {
"ForAllValues:StringEquals": {
"aws:TagKeys": [
"environment"
]
}
}
}
}
