Como oAWS Direct Connect funciona com o IAM - AWS Direct Connect

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Como oAWS Direct Connect funciona com o IAM

Antes de usar o IAM para gerenciar o acesso ao Connect Para obter uma visualização de alto nível de como o DirecAWSAWS

Políticas baseadas em identidade do Direc

Com as políticas baseadas em identidade do IAM, é possível especificar ações ou recursos permitidos ou negados, bem como as condições sob as quais as ações são permitidas ou negadas. Connect Direc Para conhecer todos os elementos usados em uma política JSON, consulte Referência de elementos de política JSON do IAM no Manual do usuário do IAM.

Ações

Os administradores podem usar AWS as políticas JSON da para especificar quem tem acesso a quê. Ou seja, qual principal pode executar ações em quais recursos, e em que condições.

O elemento Action de uma política JSON descreve as ações que você pode usar para permitir ou negar acesso em uma política. As ações de política geralmente têm o mesmo nome que a operação de API da AWS associada. Existem algumas exceções, como ações somente de permissão, que não têm uma operação de API correspondente. Há também algumas operações que exigem várias ações em uma política. Essas ações adicionais são chamadas de ações dependentes.

Inclua ações em uma política para conceder permissões para executar a operação associada.

As Connect de políticas no Direcdirectconnect: Por exemplo, para conceder permissão a alguém para executar uma instância do Amazon EC2 com a operação da API DescribeVpnGateways do Amazon EC2, inclua a ação ec2:DescribeVpnGateways na política da pessoa. As instruções de política devem incluir um elemento Action ou NotAction. Connect Direc

A política de exemplo a seguir concede acesso de leitura ao AWS Direct Connect.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "directconnect:Describe*", "ec2:DescribeVpnGateways" ], "Resource": "*" } ] }

A política de exemplo a seguir concede acesso total ao AWS Direct Connect.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "directconnect:*", "ec2:DescribeVpnGateways" ], "Resource": "*" } ] }

Para ver uma lista de ações do Direct Connect, consulte Ações definidas peloAWS Direct Connect no usuário do IAM Guidelist_awsdirectconnect.html.

Recursos

Os administradores podem usar AWS as políticas JSON da para especificar quem tem acesso a quê. Ou seja, qual principal pode executar ações em quais recursos, e em que condições.

O elemento Resource de política JSON especifica o objeto ou os objetos aos quais a ação se aplica. As instruções devem incluir um elemento Resource ou um elemento NotResource. Como prática recomendada, especifique um recurso usando seu Nome do recurso da Amazon (ARN). Isso pode ser feito para ações que oferecem suporte a um tipo de recurso específico, conhecido como permissões em nível de recurso.

Para ações que não oferecem suporte a permissões em nível de recurso, como operações de listagem, use um curinga (*) para indicar que a instrução se aplica a todos os recursos.

"Resource": "*"

O Direct Connect usa os seguintes ARNs:

ARNs de recursos do Direct Connect
Tipo de recurso ARN
dxcon arn:${Partition}:directconnect:${Region}:${Account}:dxcon/${ConnectionId}
dxlag arn:${Partition}:directconnect:${Region}:${Account}:dxlag/${LagId}
dx-vif arn:${Partition}:directconnect:${Region}:${Account}:dxvif/${VirtualInterfaceId}
dx-gateway arn:${Partition}:directconnect::${Account}:dx-gateway/${DirectConnectGatewayId}

Para obter mais informações sobre o formato de ARNs, consulte Nomes de recursos da Amazon (ARNs) e namespaces de serviços da AWS.

Por exemplo, para especificar a interface dxcon-11aa22bb em sua instrução, use o seguinte ARN:

"Resource": "arn:aws:directconnect:us-east-1:123456789012:dxcon/dxcon-11aa22bb

Para especificar todas as instâncias de banco de dados que pertencem a uma conta específica, use o caractere curinga (*):

"Resource": "arn:aws:directconnect:*:*:dxvif/*"

Algumas ações do DirecConnecO DirecConnecConnecConnecConnecConnecConnecConnecConnecConnecConnecConnecConnecConnecConnecConnecConnecConnecConnecConnecConnecConnecConnecConnecConnecConnecConnecO DirecConnecConnecConnecConnecConnecConnec Nesses casos, você deve usar o caractere curinga (*).

"Resource": "*"

Para ver uma lista dos tiposAWS Direct Connect de recursos do Direc Para saber com quais ações você pode especificar o ARN de cada recurso, consulte Ações definidas ConnectAWS Direc

Chaves de condição

Os administradores podem usar AWS as políticas JSON da para especificar quem tem acesso a quê. Ou seja, qual entidade principal pode executar ações em quais recursos e em que condições.

O elemento Condition (ou bloco de Condition) permite que você especifique condições nas quais uma instrução está em vigor. O elemento Condition é opcional. É possível criar expressões condicionais que usam agentes de condição, como “igual a” ou “menor que”, para fazer a condição da política corresponder aos valores na solicitação.

Se você especificar vários elementos Condition em uma instrução ou várias chaves em um único elemento Condition, a AWS os avaliará usando uma operação lógica AND. Se você especificar vários valores para uma única chave de condição, a AWS avaliará a condição usando uma operação lógica OR. Todas as condições devem ser atendidas para que as permissões da instrução sejam concedidas.

Você também pode usar variáveis de espaço reservado ao especificar as condições. Por exemplo, é possível conceder a um usuário do IAM permissão para acessar um recurso somente se ele estiver marcado com seu nome de usuário do IAM. Para obter mais informações, consulte Elementos de política do IAM: variáveis e etiquetas no Guia do usuário do IAM.

A AWS oferece suporte a chaves de condição globais e chaves de condição específicas do serviço. Para ver todas as chaves de condição globais da AWS, consulte Chaves de contexto de condição globais da AWS no Guia do usuário do IAM.

Connect Direc Para ver todas as chaves de condição globais da AWS, consulte Chaves de contexto de condição globais da AWS no Manual do usuário do IAM.

Você pode usar chaves de condição com o recurso de tag. Para obter mais informações, consulte Exemplo: restrição de acesso a uma Região específica.

Para ver uma lista de chaves de condição doAWS Direc Para saber com quais ações e recursos você pode usar a chave de condição, consulte Ações definidas ConnectAWS Direc

Exemplos

Para exibir exemplos de políticas baseadas em identidade do DirecAWSExemplos Connect políticas baseadas em identidade do Direc

Políticas baseadas em recursos do Direc

É possível controlar o acesso a recursos e solicitações usando condições de chave de tag. Também é possível usar uma condição em sua política do IAM para controlar se chaves de tag específicas podem ser usadas em um recurso ou em uma solicitação.

Para obter informações sobre como usar tags comAWS Identity and Access Management políticas, consulte Controlando o acesso usando tags no Guia do usuário do IAM.

Exemplos

Para exibir exemplos de políticas baseadas em recursos do DirecAWSExemplos Connect políticas baseadas em recursos do Direc

Autorização baseada em tags Connect Direc

É possível anexar tags a recursos Connect Direc Para controlar o acesso baseado em tags, forneça informações sobre as tags no elemento de condição de uma política usando as directconnect:ResourceTag/key-name, aws:RequestTag/key-name ou aws:TagKeys chaves de condição. Para obter mais informações sobre recursos Connect marcação doMarcar recursos do AWS Direct Connect Direc

Para visualizar um exemplo de política baseada em identidade para limitar o acesso a um recurso baseado em tags desse recurso, consulte Associando interfaces virtuais do Direct Connect com base em tags.

Funções do Direc

Perfil do IAM é uma entidade dentro da sua conta da AWS que tem permissões específicas.

Usar credenciais temporárias com o Connect

É possível usar credenciais temporárias para fazer login com federação, assumir um perfil do IAM ou assumir um perfil entre contas. As credenciais de segurança temporárias são obtidas chamando operaçõesAWS STS da API do, como AssumeRoleou GetFederationToken.

Connect Direc

Funções vinculadas ao serviço

Funções vinculadas ao serviço permitem que os serviços da AWS acessem recursos em outros serviços para concluir uma ação em seu nome. As funções vinculadas ao serviço aparecem em sua conta do IAM e são de propriedade do serviço. Um administrador do IAM pode visualizar, mas não pode editar as permissões para funções vinculadas ao serviço.

Connect Direc

Perfis de serviço

Esse recurso permite que um serviço assuma um perfil de serviço em seu nome. A função permite que o serviço acesse recursos em outros serviços para concluir uma ação em seu nome. As funções de serviço aparecem em sua conta do IAM e são de propriedade da conta. Isso significa que um administrador do IAM pode alterar as permissões para essa função. Porém, fazer isso pode alterar a funcionalidade do serviço.

Connect Direc