組織控管的 IAM 條件索引鍵 - AWS Transfer Family
可用的條件索引鍵支援的動作範例 SCP 政策

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

組織控管的 IAM 條件索引鍵

AWS Transfer Family 提供 IAM 條件金鑰,可讓您限制任何 IAM 政策中的資源組態。這些條件金鑰可用於連接到使用者或角色的身分型政策,或用於組織控管的服務控制政策 SCPs)。

服務控制政策是適用於整個 AWS 組織的 IAM 政策,可為多個帳戶提供預防性防護機制。在 SCPs 中使用時,這些條件金鑰有助於在整個組織中強制執行安全和合規要求。

另請參閱

可用的條件索引鍵

AWS Transfer Family 支援下列條件索引鍵,可用於 IAM 政策:

transfer:RequestServerEndpointType

根據端點類型 (PUBLIC、VPC、VPC_ENDPOINT) 限制伺服器建立和更新。通常用於防止公開端點。

transfer:RequestServerProtocols

根據支援的通訊協定 (SFTP、FTPS、FTP、AS2) 限制伺服器建立和更新。

transfer:RequestServerDomain

根據網域類型 (S3、EFS限制伺服器建立。

transfer:RequestConnectorProtocol

根據通訊協定 (AS2、SFTP) 限制連接器的建立。

支援的動作

條件索引鍵可以套用至下列 AWS Transfer Family 動作:

  • CreateServer:支援 RequestServerEndpointTypeRequestServerProtocolsRequestServerDomain條件金鑰

  • UpdateServer:支援RequestServerEndpointTypeRequestServerProtocols條件索引鍵

  • CreateConnector:支援RequestConnectorProtocol條件金鑰

範例 SCP 政策

下列範例 SCP 可防止整個組織的公有 AWS Transfer Family 伺服器建立:

{
    "Version": "2012-10-17",
    "Statement": [{
        "Sid": "DenyPublicTransferServers",
        "Effect": "Deny",
        "Action": ["transfer:CreateServer", "transfer:UpdateServer"],
        "Resource": "*",
        "Condition": {
            "StringEquals": {
                "transfer:RequestServerEndpointType": "PUBLIC"
            }
        }
    }]
}