本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
用于组织治理的 IAM 条件密钥
AWS Transfer Family 提供了 IAM 条件密钥,允许您在任何 IAM 策略中限制资源配置。这些条件密钥可用于附加到用户或角色的基于身份的策略,或用于组织治理的服务控制策略 (SCPs)。
服务控制策略是适用于整个 AWS 组织的 IAM 策略,为多个账户提供预防性护栏。在中使用这些条件密钥时 SCPs,有助于在整个组织范围内强制执行安全与合规性要求。
另请参阅
-
描述如何使用服务控制策略强制实施预防性护栏的视频
可用的条件键
AWS Transfer Family 支持在 IAM 策略中使用以下条件键:
transfer:RequestServerEndpointType-
根据终端节点类型(公共、VPC、VPC_ENDPOINT)限制服务器的创建和更新。通常用于阻止面向公众的端点。
transfer:RequestServerProtocols-
根据支持的协议(SFTP、FTPS、FTP 等)限制服务器的创建和更新。 AS2
transfer:RequestServerDomain-
根据域类型(S3、EFS)限制服务器的创建。
transfer:RequestConnectorProtocol-
根据协议(AS2、SFTP)限制连接器的创建。
支持的操作
条件键可以应用于以下 AWS Transfer Family 操作:
-
CreateServer: 支持RequestServerEndpointTypeRequestServerProtocols、和RequestServerDomain条件键 -
UpdateServer: 支撑键RequestServerEndpointType和RequestServerProtocols条件键 -
CreateConnector: 支持RequestConnectorProtocol条件键
SCP 策略示例
以下示例 SCP 阻止在整个组织中创建公共 AWS Transfer Family 服务器:
{ "Version": "2012-10-17", "Statement": [{ "Sid": "DenyPublicTransferServers", "Effect": "Deny", "Action": ["transfer:CreateServer", "transfer:UpdateServer"], "Resource": "*", "Condition": { "StringEquals": { "transfer:RequestServerEndpointType": "PUBLIC" } } }] }
