Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Identitäts- und Zugriffsmanagement für VPC Peering
Standardmäßig können Benutzer keine VPC Peering-Verbindungen erstellen oder ändern. Um Zugriff auf VPC Peering-Ressourcen zu gewähren, fügen Sie einer IAM Identität, z. B. einer Rolle, eine IAM Richtlinie hinzu.
Beispiele
Eine Liste der VPC Amazon-Aktionen und der unterstützten Ressourcen und Bedingungsschlüssel für jede Aktion finden Sie unter Aktionen, Ressourcen und Bedingungsschlüssel für Amazon EC2 in der Service Authorization Reference.
Beispiel: Erstellen Sie eine VPC Peering-Verbindung
Die folgende Richtlinie gewährt Benutzern die Erlaubnis, VPC Peering-Verbindungsanfragen unter Verwendung von mit markierten VPCs Elementen zu erstellen. Purpose=Peering Die erste Anweisung wendet einen Bedingungsschlüssel (ec2:ResourceTag) auf die VPC Ressource an. Beachten Sie, dass die VPC Ressource für die CreateVpcPeeringConnection Aktion immer der VPC Anforderer ist.
Die zweite Anweisung erteilt Benutzern die Erlaubnis, die VPC Peering-Verbindungsressourcen zu erstellen, und verwendet daher den Platzhalter * anstelle einer bestimmten Ressourcen-ID.
{ "Version": "2012-10-17", "Statement":[ { "Effect":"Allow", "Action": "ec2:CreateVpcPeeringConnection", "Resource": "arn:aws:ec2:region:account-id:vpc/*", "Condition": { "StringEquals": { "ec2:ResourceTag/Purpose": "Peering" } } }, { "Effect": "Allow", "Action": "ec2:CreateVpcPeeringConnection", "Resource": "arn:aws:ec2:region:account-id:vpc-peering-connection/*" } ] }
Die folgende Richtlinie gewährt Benutzern im angegebenen AWS Konto die Berechtigung, VPC Peering-Verbindungen unter Verwendung beliebiger Verbindungen VPC in der angegebenen Region herzustellen, jedoch nur, wenn es sich bei dem Konto, VPC das die Peering-Verbindung akzeptiert, um ein bestimmtes VPC Konto handelt.
{ "Version": "2012-10-17", "Statement": [ { "Effect":"Allow", "Action": "ec2:CreateVpcPeeringConnection", "Resource": "arn:aws:ec2:region:account-id-1:vpc/*" }, { "Effect": "Allow", "Action": "ec2:CreateVpcPeeringConnection", "Resource": "arn:aws:ec2:region:account-id-1:vpc-peering-connection/*", "Condition": { "ArnEquals": { "ec2:AccepterVpc": "arn:aws:ec2:region:account-id-2:vpc/vpc-id" } } } ] }
Beispiel: Akzeptieren Sie eine VPC Peering-Verbindung
Die folgende Richtlinie gewährt Benutzern die Erlaubnis, VPC Peering-Verbindungsanfragen von einem bestimmten AWS Konto anzunehmen. Dadurch wird verhindert, dass Benutzer VPC Peering-Verbindungsanfragen von unbekannten Konten annehmen. Die Anweisung verwendet den Bedingungsschlüssel ec2:RequesterVpc, um dies zu erzwingen.
{ "Version": "2012-10-17", "Statement":[ { "Effect":"Allow", "Action": "ec2:AcceptVpcPeeringConnection", "Resource": "arn:aws:ec2:region:account-id-1:vpc-peering-connection/*", "Condition": { "ArnEquals": { "ec2:RequesterVpc": "arn:aws:ec2:region:account-id-2:vpc/*" } } } ] }
Die folgende Richtlinie gewährt Benutzern die Erlaubnis, VPC Peering-Anfragen anzunehmen, wenn sie mit dem Tag VPC versehen sind. Purpose=Peering
{ "Version": "2012-10-17", "Statement":[ { "Effect": "Allow", "Action": "ec2:AcceptVpcPeeringConnection", "Resource": "arn:aws:ec2:region:account-id:vpc/*", "Condition": { "StringEquals": { "ec2:ResourceTag/Purpose": "Peering" } } } ] }
Beispiel: Löschen Sie eine VPC Peering-Verbindung
Die folgende Richtlinie gewährt Benutzern im angegebenen Konto die Berechtigung, alle VPC Peering-Verbindungen zu löschen, mit Ausnahme derjenigen, die die angegebene Verbindung verwendenVPC, die sich im selben Konto befindet. In der Richtlinie werden ec2:AccepterVpc sowohl der Bedingungsschlüssel als auch der ec2:RequesterVpc Bedingungsschlüssel angegeben, da es sich bei der ursprünglichen VPC VPC Peering-Verbindungsanforderung um den Anforderer VPC oder den Peer handeln VPC könnte.
{ "Version": "2012-10-17", "Statement": [ { "Effect":"Allow", "Action": "ec2:DeleteVpcPeeringConnection", "Resource": "arn:aws:ec2:region:account-id:vpc-peering-connection/*", "Condition": { "ArnNotEquals": { "ec2:AccepterVpc": "arn:aws:ec2:region:account-id:vpc/vpc-id", "ec2:RequesterVpc": "arn:aws:ec2:region:account-id:vpc/vpc-id" } } } ] }
Beispiel: Arbeiten innerhalb eines bestimmten Kontos
Die folgende Richtlinie gewährt Benutzern die Erlaubnis, mit VPC Peering-Verbindungen innerhalb eines bestimmten Kontos zu arbeiten. Benutzer können VPC Peering-Verbindungen anzeigen, erstellen, akzeptieren, ablehnen und löschen, sofern sie sich alle innerhalb desselben AWS Kontos befinden.
Die erste Anweisung erteilt Benutzern die Erlaubnis, alle VPC Peering-Verbindungen einzusehen. Das Resource Element erfordert in diesem Fall den Platzhalter *, da diese API Aktion (DescribeVpcPeeringConnections) derzeit keine Berechtigungen auf Ressourcenebene unterstützt.
Die zweite Anweisung gewährt Benutzern die Erlaubnis, VPC Peering-Verbindungen herzustellen, und gewährt zu diesem Zweck Zugriff auf alle Verbindungen VPCs im angegebenen Konto.
Die dritte Anweisung verwendet den Platzhalter * als Teil des Action Elements, um die Erlaubnis für alle VPC Peering-Verbindungsaktionen zu erteilen. Die Bedingungsschlüssel stellen sicher, dass die Aktionen nur für VPC Peering-Verbindungen ausgeführt werden könnenVPCs, die Teil des Kontos sind. Beispielsweise kann ein Benutzer eine VPC Peering-Verbindung nicht löschen, wenn sich entweder der akzeptierende oder der anfordernde Benutzer in einem anderen VPC Konto befindet. Ein Benutzer kann keine VPC Peering-Verbindung mit einem Konto VPC in einem anderen Konto herstellen.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "ec2:DescribeVpcPeeringConnections", "Resource": "*" }, { "Effect": "Allow", "Action": ["ec2:CreateVpcPeeringConnection","ec2:AcceptVpcPeeringConnection"], "Resource": "arn:aws:ec2:*:account-id:vpc/*" }, { "Effect": "Allow", "Action": "ec2:*VpcPeeringConnection", "Resource": "arn:aws:ec2:*:account-id:vpc-peering-connection/*", "Condition": { "ArnEquals": { "ec2:AccepterVpc": "arn:aws:ec2:*:account-id:vpc/*", "ec2:RequesterVpc": "arn:aws:ec2:*:account-id:vpc/*" } } } ] }
Beispiel: VPC Peering-Verbindungen mithilfe der Konsole verwalten
Um VPC Peering-Verbindungen in der VPC Amazon-Konsole anzuzeigen, müssen Benutzer über die Erlaubnis verfügen, die ec2:DescribeVpcPeeringConnections Aktion zu verwenden. Um das Dialogfeld Create VPC Peering Connection (VPC Peering-Verbindung erstellen) zu verwenden, benötigen Benutzer die Berechtigung zum Verwenden der Aktion ec2:DescribeVpcs. Dadurch erhalten sie die Erlaubnis, eine VPC anzusehen und auszuwählen. Sie können auf alle ec2:*PeeringConnection-Aktionen mit Ausnahme von ec2:DescribeVpcPeeringConnections Berechtigungen auf Ressourcenebene anwenden.
Die folgende Richtlinie gewährt Benutzern die Berechtigung, VPC Peering-Verbindungen anzuzeigen und das Dialogfeld „VPCPeering-Verbindung erstellen“ zu verwenden, um eine VPC Peering-Verbindung nur mit einem bestimmten Anforderer herzustellen. VPC Wenn Benutzer versuchen, eine VPC Peering-Verbindung mit einem anderen Anforderer herzustellen, schlägt die Anfrage VPC fehl.
{ "Version": "2012-10-17", "Statement": [ { "Effect":"Allow", "Action": [ "ec2:DescribeVpcPeeringConnections", "ec2:DescribeVpcs" ], "Resource": "*" }, { "Effect":"Allow", "Action": "ec2:CreateVpcPeeringConnection", "Resource": [ "arn:aws:ec2:*:*:vpc/vpc-id", "arn:aws:ec2:*:*:vpc-peering-connection/*" ] } ] }
