本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Direct Connect 身分型政策範例使用標籤型條件
透過使用標籤金鑰條件,您就可以控制對於資源和請求的存取。您也可以在 IAM 政策中使用條件,控制可在資源或請求中使用特定的標籤金鑰。
如需有關如何使用具有 IAM 政策之標籤的資訊,請參閱《IAM 使用者指南》中的使用標籤控制存取權。
根據標籤與 Direct Connect 虛擬介面產生關聯
以下範例將示範如何建立政策,以便僅在標籤包含環境金鑰、preprod 或 production 等值的條件下,才能與虛擬介面建立關聯。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "directconnect:AssociateVirtualInterface" ], "Resource": "arn:aws:directconnect:*:*:dxvif/*", "Condition": { "StringEquals": { "aws:ResourceTag/environment": [ "preprod", "production" ] } } }, { "Effect": "Allow", "Action": "directconnect:DescribeVirtualInterfaces", "Resource": "*" } ] }
根據標籤控制對請求的存取
您可以在 IAM 政策中使用條件,控制可以在標記 AWS 資源的請求中傳遞哪些標籤鍵值組。下列範例顯示如何建立原則,僅當標籤包含環境金鑰和 preprod 或生產值時,才允許使用AWS Direct Connect TagResource 動作將標籤附加至虛擬介面。最佳實務是,搭配 aws:TagKeys
條件金鑰使用 ForAllValues
修飾詞,以表示僅允許在請求中使用金鑰環境。
{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": "directconnect:TagResource", "Resource": "arn:aws:directconnect:*:*:dxvif/*", "Condition": { "StringEquals": { "aws:RequestTag/environment": [ "preprod", "production" ] }, "ForAllValues:StringEquals": {"aws:TagKeys": "environment"} } } }
控制標籤鍵
您可以在 IAM 政策中使用條件,以控制是否可對資源或在請求中使用特定標籤索引鍵。
以下範例將示範如何建立政策,以便僅在搭配標籤金鑰環境的條件下,才能為資源加上標籤。
{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": "directconnect:TagResource", "Resource": "*", "Condition": { "ForAllValues:StringEquals": { "aws:TagKeys": [ "environment" ] } } } }