Clés de condition disponibles Actions prises en charge Exemple de politique SCP

Clés de condition IAM pour la gouvernance organisationnelle

AWS Transfer Family fournit des clés de condition IAM qui vous permettent de restreindre les configurations de ressources dans n'importe quelle politique IAM. Ces clés de condition peuvent être utilisées dans des politiques basées sur l'identité associées à des utilisateurs ou à des rôles, ou dans des politiques de contrôle des services (SCPs) pour la gouvernance organisationnelle.

Les politiques de contrôle des services sont des politiques IAM qui s'appliquent à AWS l'ensemble d'une organisation et fournissent des garanties préventives sur plusieurs comptes. Lorsqu'elles sont utilisées SCPs, ces clés de condition aident à appliquer les exigences de sécurité et de conformité à l'échelle de l'organisation.

Voir aussi

Actions, ressources et clés de condition pour Transfer Family
Politiques de contrôle des services (SCPs)
Vidéo expliquant comment appliquer des garde-fous préventifs à l'aide de politiques de contrôle des services

Clés de condition disponibles

AWS Transfer Family prend en charge les clés de condition suivantes à utiliser dans les politiques IAM :

transfer:RequestServerEndpointType: Limite la création et les mises à jour de serveurs en fonction du type de point de terminaison (PUBLIC, VPC, VPC_ENDPOINT). Couramment utilisé pour empêcher les terminaux destinés au public.
transfer:RequestServerProtocols: Limite la création et les mises à jour de serveurs en fonction des protocoles pris en charge (SFTP, FTPS, FTP,). AS2
transfer:RequestServerDomain: Limite la création de serveurs en fonction du type de domaine (S3, EFS).
transfer:RequestConnectorProtocol: Limite la création de connecteurs en fonction du protocole (AS2SFTP).

Actions prises en charge

Les clés de condition peuvent être appliquées aux AWS Transfer Family actions suivantes :

CreateServer: Supports RequestServerEndpointType RequestServerProtocols et clés de RequestServerDomain condition
UpdateServer: Supports RequestServerEndpointType et clés de RequestServerProtocols condition
CreateConnector: Supporte la clé de RequestConnectorProtocol condition

Exemple de politique SCP

L'exemple de SCP suivant empêche la création de AWS Transfer Family serveurs publics au sein de votre organisation :


{
    "Version": "2012-10-17",
    "Statement": [{
        "Sid": "DenyPublicTransferServers",
        "Effect": "Deny",
        "Action": ["transfer:CreateServer", "transfer:UpdateServer"],
        "Resource": "*",
        "Condition": {
            "StringEquals": {
                "transfer:RequestServerEndpointType": "PUBLIC"
            }
        }
    }]
}

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Résolution des problèmes d’identité et d’accès avec

Validation de conformité