本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Direct Connect 身分型政策範例使用標籤型條件
透過使用標籤金鑰條件,您就可以控制對於資源和請求的存取。您也可以使用 IAM 政策中的條件來控制特定標籤金鑰是否可用於資源或請求。
如需如何搭配 IAM 政策使用標籤的詳細資訊,請參閱 IAM 使用者指南中的使用標籤控制存取。
根據標籤與 Direct Connect 虛擬介面產生關聯
以下範例將示範如何建立政策,以便僅在標籤包含環境金鑰、preprod 或 production 等值的條件下,才能與虛擬介面建立關聯。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "directconnect:AssociateVirtualInterface" ], "Resource": "arn:aws:directconnect:*:*:dxvif/*", "Condition": { "StringEquals": { "aws:ResourceTag/environment": [ "preprod", "production" ] } } }, { "Effect": "Allow", "Action": "directconnect:DescribeVirtualInterfaces", "Resource": "*" } ] }
根據標籤控制對請求的存取
您可以使用 IAM 政策中的條件,控制哪些標籤鍵值對可以在標記 AWS 資源的請求中傳遞。下列範例示範如何建立政策,允許使用 AWS Direct Connect TagResource 動作將標籤連接至虛擬介面,但前提是該標籤包含環境金鑰和預先開發或生產值。最佳實務是,搭配 aws:TagKeys 條件金鑰使用 ForAllValues 修飾詞,以表示僅允許在請求中使用金鑰環境。
{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": "directconnect:TagResource", "Resource": "arn:aws:directconnect:*:*:dxvif/*", "Condition": { "StringEquals": { "aws:RequestTag/environment": [ "preprod", "production" ] }, "ForAllValues:StringEquals": {"aws:TagKeys": "environment"} } } }
控制標籤鍵
您可以使用 IAM 政策中的條件來控制特定標籤金鑰是否可用於資源或請求。
以下範例將示範如何建立政策,以便僅在搭配標籤金鑰環境的條件下,才能為資源加上標籤。
{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": "directconnect:TagResource", "Resource": "*", "Condition": { "ForAllValues:StringEquals": { "aws:TagKeys": [ "environment" ] } } } }
