发布于: Nov 16, 2023
现在,您可以在 IAM policy 中使用特定于弹性负载均衡器(ELB)服务的条件密钥来限制传输层安全(TLS)策略以及基于 IP 的访问的配置。 此增强功能强制您账户中的用户遵循您为负载均衡器配置制定的标准。
对于 TLS,您可以限制用户仅使用支持通过 elasticloadbalancing:ListenerProtocol 条件密钥进行加密的侦听器(例如,仅使用 HTTPS/TLS),并允许仅通过 elasticloadbalancing:SecurityPolicy 条件密钥使用所需的 TLS 安全策略(例如,仅限 TLS1.3 安全策略)。这些控制措施可以确保您的用户遵从贵组织的加密要求。
对于基于 IP 的访问控制,您可以使用 elasticloadbalancing:Scheme 或 elasticloadbalancing:Subnets 条件密钥,这些密钥仅允许用户创建无法从互联网访问的内部负载均衡器。如果您需要更高的灵活性,可以通过配置 elasticloadbalancing:SecurityGroup 条件密钥来限制用户仅使用仅允许已知 IP 的经批准安全组,从而实现更精细的控制。
上述五个条件密钥均可用于应用程序负载均衡器(ALB)、网络负载均衡器(NLB)和经典负载均衡器(CLB)。网关负载均衡器(GWLB)支持仅强制执行子网的条件密钥。
这组 IAM 条件密钥已在由光环新网运营的亚马逊云科技中国(北京)区域和由西云数据运营的亚马逊云科技中国(宁夏)区域免费推出。