本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Direct Connect 身分型政策範例使用標籤型條件
透過使用標籤金鑰條件,您就可以控制對於資源和請求的存取。您也可以使用IAM原則中的條件來控制是否可以在資源或要求中使用特定標籤金鑰。
如需如何搭配IAM策略使用標籤的詳細資訊,請參閱《使用指南》中的「使IAM用標籤控制存取」。
根據標籤與 Direct Connect 虛擬介面產生關聯
以下範例將示範如何建立政策,以便僅在標籤包含環境金鑰、preprod 或 production 等值的條件下,才能與虛擬介面建立關聯。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "directconnect:AssociateVirtualInterface" ], "Resource": "arn:aws:directconnect:*:*:dxvif/*", "Condition": { "StringEquals": { "aws:ResourceTag/environment": [ "preprod", "production" ] } } }, { "Effect": "Allow", "Action": "directconnect:DescribeVirtualInterfaces", "Resource": "*" } ] }
根據標籤控制對請求的存取
您可以使用IAM政策中的條件來控制哪些標籤鍵值配對可以在標記資源的請求中傳遞。 AWS 下列範例顯示如何建立原則,僅當標籤包含環境金鑰和 preprod 或生產值時,才允許使用 AWS Direct Connect TagResource 動作將標籤附加至虛擬介面。最佳實務是,搭配 aws:TagKeys 條件金鑰使用 ForAllValues 修飾詞,以表示僅允許在請求中使用金鑰環境。
{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": "directconnect:TagResource", "Resource": "arn:aws:directconnect:*:*:dxvif/*", "Condition": { "StringEquals": { "aws:RequestTag/environment": [ "preprod", "production" ] }, "ForAllValues:StringEquals": {"aws:TagKeys": "environment"} } } }
控制標籤鍵
您可以使用IAM策略中的條件來控制是否可以在資源或請求中使用特定標籤鍵。
以下範例將示範如何建立政策,以便僅在搭配標籤金鑰環境的條件下,才能為資源加上標籤。
{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": "directconnect:TagResource", "Resource": "*", "Condition": { "ForAllValues:StringEquals": { "aws:TagKeys": [ "environment" ] } } } }
