中转网关的身份和访问管理 - Amazon VPC
管理中转网关的策略示例管理 AWS 网络管理器的策略示例

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

中转网关的身份和访问管理

AWS 使用安全凭证来识别您的身份并向您授予对 AWS 资源的访问权限。利用 AWS Identity and Access Management (IAM) 的功能,可在不共享您的安全凭证的情况下允许其他用户、服务和应用程序完全使用或受限使用您的 AWS 资源。

默认情况下,IAM 用户没有创建、查看或修改 AWS 资源的权限。要允许某个用户访问资源(如中转网关)和执行任务,您必须创建一个 IAM policy(该策略向该用户授予使用其所需的特定资源和 API 操作的权限),然后将该策略附加到该用户所属的组。在将策略附加到一个用户或一组用户时,它会授权或拒绝用户使用指定资源执行指定任务。

要使用中转网关,下列 AWS 托管策略之一可能符合您的需求:

管理中转网关的策略示例

以下是用于处理中转网关的示例 IAM 策略。

创建具有所需标记的中转网关

以下示例允许用户创建中转网关。aws:RequestTag 条件键要求用户使用标签 stack=prod 标记中转网关。aws:TagKeys 条件键使用 ForAllValues 修饰符指示只允许在请求中使用键 stack(不能指定任何其他标签)。如果用户在创建中转网关时未传递此特定标签,或者不指定标签,请求将失败。

第二个语句使用 ec2:CreateAction 条件键使用户只能在 CreateTransitGateway 上下文中创建标签。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowCreateTaggedTGWs",
            "Effect": "Allow",
            "Action": "ec2:CreateTransitGateway",
            "Resource": "arn:aws:ec2:region:account-id:transit-gateway/*",
            "Condition": {
                "StringEquals": {
                    "aws:RequestTag/stack": "prod"
                },
                "ForAllValues:StringEquals": {
                    "aws:TagKeys": [
                        "stack"
                    ]
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:CreateTags"
            ],
            "Resource": "arn:aws:ec2:region:account-id:transit-gateway/*",
            "Condition": {
                "StringEquals": {
                    "ec2:CreateAction": "CreateTransitGateway"
                }
            }
        }
    ]
}
使用中转网关路由表

以下示例允许用户仅为特定中转网关 (tgw-11223344556677889) 创建和删除中转网关路由表。用户还可以在任何中转网关路由表中创建和替换路由,但仅针对具有标签 network=new-york-office 的连接。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DeleteTransitGatewayRouteTable",
                "ec2:CreateTransitGatewayRouteTable"
            ],
            "Resource": [
                "arn:aws:ec2:region:account-id:transit-gateway/tgw-11223344556677889",
                "arn:aws:ec2:*:*:transit-gateway-route-table/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:CreateTransitGatewayRoute",
                "ec2:ReplaceTransitGatewayRoute"
            ],
            "Resource": "arn:aws:ec2:*:*:transit-gateway-attachment/*",
            "Condition": {
                "StringEquals": {
                    "ec2:ResourceTag/network": "new-york-office"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:CreateTransitGatewayRoute",
                "ec2:ReplaceTransitGatewayRoute"
            ],
            "Resource": "arn:aws:ec2:*:*:transit-gateway-route-table/*"
        }
    ]
}

管理 AWS 网络管理器的策略示例

有关策略示例,请参阅《中转网关的 AWS 全球网络使用指南》中的管理网络管理器策略示例