AWS Transfer Family esempi di policy basate su tag - AWS Transfer Family
Utilizzo dei tag per controllare l'accesso alle risorse

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

AWS Transfer Family esempi di policy basate su tag

Di seguito sono riportati alcuni esempi di come controllare l'accesso alle AWS Transfer Family risorse in base ai tag.

Utilizzo dei tag per controllare l'accesso alle risorse AWS Transfer Family

Le condizioni nelle policy IAM fanno parte della sintassi utilizzata per specificare le autorizzazioni alle AWS Transfer Family risorse. Puoi controllare l'accesso alle AWS Transfer Family risorse (come utenti, server, ruoli e altre entità) in base ai tag presenti su tali risorse. I tag sono coppie chiave-valore. Per ulteriori informazioni sull'etichettatura delle risorse, consulta Tagging AWS resources in. Riferimenti generali di AWS

Nel AWS Transfer Family, le risorse possono avere tag e alcune azioni possono includere tag. Quando si crea una policy IAM, è possibile utilizzare le chiavi di condizione di tag per controllare:

  • Quali utenti possono eseguire azioni su una AWS Transfer Family risorsa, in base ai tag presenti nella risorsa.

  • Quali tag possono essere passati in una richiesta di operazione;

  • Se delle chiavi di tag specifiche possono essere utilizzate in una richiesta.

Utilizzando il controllo degli accessi basato su tag, puoi applicare un controllo più preciso rispetto a livello di API. È inoltre possibile applicare un controllo più dinamico rispetto al controllo degli accessi basato sulle risorse. Puoi creare policy IAM che consentano o rifiutino un'operazione in base ai tag forniti nella richiesta (tag di richiesta). Puoi anche creare policy IAM basate su tag sulla risorsa su cui viene gestita (tag di risorsa). In generale, i tag di risorsa sono per i tag che sono già presenti sulle risorse, i tag di richiesta servono per aggiungere o rimuovere tag da una risorsa.

Per la sintassi e la semantica complete delle chiavi di condizione dei tag, consulta Controlling access to AWS resources using resource tags nella IAM User Guide. Per dettagli sulla specificazione delle policy IAM con API Gateway, consulta Controllare l'accesso a un'API con autorizzazioni IAM nella API Gateway Developer Guide.

Esempio 1: nega le azioni basate sui tag delle risorse

Puoi negare l'esecuzione di un'azione su una risorsa in base ai tag. La politica di esempio seguente negaTagResource,UntagResource, StartServer StopServerDescribeServer, e DescribeUser le operazioni se la risorsa utente o del server è contrassegnata con la chiave stage e il valore. prod

{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "transfer:TagResource",
                "transfer:UntagResource",
                "transfer:StartServer",
                "transfer:StopServer",
                "transfer:DescribeServer",
                "transfer:DescribeUser"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/stage": "prod"
                }
            }
        }
    ]
}

Esempio 2: consenti azioni basate sui tag delle risorse

Puoi consentire l'esecuzione di un'azione su una risorsa in base ai tag. La seguente politica di esempio consente TagResourceUntagResource,StartServer, StopServerDescribeServer, e DescribeUser operazioni se la risorsa utente o del server è contrassegnata con la chiave stage e il valoreprod.

{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "transfer:TagResource",
                "transfer:UntagResource",
                "transfer:StartServer",
                "transfer:StopServer",
                "transfer:DescribeServer",
                "transfer:DescribeUser"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/stage": "prod"
                }
            }
        }
    ]
}

Esempio 3: nega la creazione di un utente o di un server in base ai tag di richiesta

La seguente politica di esempio contiene due istruzioni. La prima istruzione nega l'CreateServeroperazione su tutte le risorse se la chiave del centro di costo per il tag non ha un valore.

La seconda istruzione nega l'CreateServeroperazione se la chiave del centro di costo per il tag contiene qualsiasi altro valore oltre a 1, 2 o 3.

Nota

Questa politica consente di creare o eliminare una risorsa che contiene una chiave chiamata costcenter e un valore di 12, o. 3

{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        { 
            "Effect": "Deny",
            "Action": [
                "transfer:CreateServer"
            ],
            "Resource": [
                "*"
            ],
            "Condition": {
                "Null":  {
                    "aws:RequestTag/costcenter": "true"
                }
            }
        },
        {
            "Effect": "Deny",
            "Action": "transfer:CreateServer",
            "Resource": [
                "*"
            ],
            "Condition": {
                "ForAnyValue:StringNotEquals": {
                    "aws:RequestTag/costcenter": [
                        "1",
                        "2",
                        "3"
                    ]
                }
            }
        }           
    ]
}