本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
適用於網絡合成監視器的身分識別和存取管理
AWSIdentity and Access Management (IAM) 是一種AWS服務,可協助管理員安全地控制對 AWS資源的存取。IAM 管理員可以控制完成身分驗證 (已登入) 和獲得授權 (具有許可) 的對象,以使用網絡合成監視器資源。IAM 是一項服務AWS,您可以免費使用。您可以使用 IAM 的功能,來允許其他使用者、服務和應用程式完整地或有所限制地使用您的 AWS 資源,而不共享您的安全登入資料。
根據預設,IAM 使用者不具有建立、檢視或修改 AWS 資源的許可。若要允許 IAM 使用者存取資源 (例如全球網路) 和執行任務,您必須:
-
建立 IAM 政策以准許使用者使用他們所需的特定資源和 API 動作
-
將政策附接至 IAM 使用者或連線到使用者所屬的群組
將政策附加至使用者或使用者群組時,政策會允許或拒絕使用者對特定資源執行特定任務的許可。
條件索引鍵
Condition 元素 (或 Condition 區塊) 可讓您指定使陳述式生效的條件。Condition 元素是可選用的。您可以建置使用條件運算子的條件表達式 (例如等於或小於),來比對原則中的條件和請求中的值。如需詳細資訊,請參閱《AWS Identity and Access Management 使用者指南》中的 IAM JSON 政策元素:條件運算子。
若您在陳述式中指定多個 Condition 元素,或是在單一 Condition 元素中指定多個索引鍵,AWS 會使用邏輯 AND 操作評估他們。如果您為單一條件索引鍵指定多個值, 會使用邏輯OR操作AWS評估條件。必須符合所有條件,才會授與陳述式的許可。
您也可以在指定條件時使用預留位置變數。例如,您可以只在使用者使用其 IAM 使用者名稱標記時,將存取資源的許可授予該 IAM 使用者。
可以將標籤連結至網絡合成監視器資源,或是在請求中將標籤傳遞給 Cloud WAN。若要根據標籤控制存取,請使用 aws:ResourceTag/key-name、aws:RequestTag/key-name 或 aws:TagKeys 條件金鑰,在政策的條件元素中,提供標籤資訊。如需詳細資訊,請參閱《AWS Identity and Access Management 使用者指南》中的 IAM JSON 政策元素:條件。
若要查看所有AWS全域條件索引鍵,請參閱《 AWSIdentity and Access Management 使用者指南》中的AWS全域條件內容索引鍵。
標記核心網路資源
標籤是您或AWS指派給 AWS資源的中繼資料標籤。每個標籤皆包含索引鍵與值。對於您指派的標籤,您可以定義索引鍵與值。例如,對於某個資源,您可能將索引鍵定義為 purpose,以及將值定義為 test。標籤可協助您執行以下操作:
-
識別和組織您的 AWS資源。許多 AWS服務支援標記,因此您可以將相同的標籤指派給來自不同 服務的資源,以指出資源相關。
-
控制對 AWS資源的存取。如需詳細資訊,請參閱《識別和存取管理使用者指南》中的使用標籤控制對AWS資源的存取。 AWS
刪除服務連結角色
如果您不再需要使用網絡合成監視器,建議您刪除 AWSServiceRoleForNetworkMonitor 角色。
只有在刪除監視器之後,才能刪除這些服務連結角色。如需詳細資訊,請參閱刪除監視器。
您可以使用 IAM 主控台、IAM CLI 或 IAM API 刪除服務連結角色。如需詳細資訊,請參閱 IAM 使用者指南中的刪除服務連結角色。
刪除 AWSServiceRoleForNetworkMonitor 之後,當您建立新的監視器時,網絡合成監視器會再次建立該角色。
