Beispiele für identitätsbasierte Richtlinien für AWS PrivateLink - Amazon Virtual Private Cloud
Steuern der Nutzung von VPC-EndpunktenSteuern der Erstellung von VPC-Endpunkten auf Grundlage des ServicebesitzersSteuern der privaten DNS-Namen, die für VPC-Endpunktservices angegeben werden können Steuern der Servicenamen, die für VPC-Endpunktservices angegeben werden können

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Beispiele für identitätsbasierte Richtlinien für AWS PrivateLink

Benutzer und Rollen haben standardmäßig nicht die Berechtigung, AWS PrivateLink -Ressourcen zu erstellen oder zu ändern. Sie können auch keine Aufgaben mithilfe der AWS Management Console, AWS Command Line Interface (AWS CLI) oder AWS API ausführen. Ein IAM-Administrator muss IAM-Richtlinien erstellen, die Benutzern die Berechtigung erteilen, Aktionen für die Ressourcen auszuführen, die sie benötigen. Der Administrator kann dann die IAM-Richtlinien zu Rollen hinzufügen, und Benutzer können die Rollen annehmen.

Informationen dazu, wie Sie unter Verwendung dieser beispielhaften JSON-Richtliniendokumente eine identitätsbasierte IAM-Richtlinie erstellen, finden Sie unter Erstellen von IAM-Richtlinien im IAM-Benutzerhandbuch.

Einzelheiten zu Aktionen und Ressourcentypen, die von definiert wurden AWS PrivateLink, einschließlich des Formats der ARNs für jeden der Ressourcentypen, finden Sie unter Aktionen, Ressourcen und Bedingungsschlüssel für Amazon EC2 in der Service Authorization Reference.

Steuern der Nutzung von VPC-Endpunkten

Standardmäßig haben -Benutzer keine Berechtigungen zum Arbeiten mit Endpunkten. Sie können eine identitätsbasierte Richtlinie erstellen, die Benutzern die Berechtigung zum Erstellen, Ändern, Beschreiben und Löschen von Endpunkten erteilt. Im Folgenden wird ein Beispiel gezeigt.

{
    "Version": "2012-10-17",
    "Statement":[
        {
            "Effect": "Allow",
            "Action":"ec2:*VpcEndpoint*",
            "Resource":"*"
        }
    ]
}

Informationen zur Steuerung des Zugriffs aus Services mit VPC-Endpunkten vgl. Steuern des Zugriffs auf VPC-Endpunkte mithilfe von Endpunktrichtlinien.

Steuern der Erstellung von VPC-Endpunkten auf Grundlage des Servicebesitzers

Mit dem ec2:VpceServiceOwner-Bedingungsschlüssel können Sie steuern, welcher VPC-Endpunkt basierend auf dem Eigentümer des Services (amazon, aws-marketplace oder die Konto-ID) erstellt werden kann. Im folgenden Beispiel wird die Berechtigung zum Erstellen von VPC-Endpunkten mit dem angegebenen Servicebesitzer erteilt. Um dieses Beispiel zu verwenden, ersetzen Sie die Region, die Konto-ID und den Servicebesitzer.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "ec2:CreateVpcEndpoint",
            "Resource": [
                "arn:aws:ec2:region:account-id:vpc/*",
                "arn:aws:ec2:region:account-id:security-group/*",
                "arn:aws:ec2:region:account-id:subnet/*",
                "arn:aws:ec2:region:account-id:route-table/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": "ec2:CreateVpcEndpoint",
            "Resource": [
                "arn:aws:ec2:region:account-id:vpc-endpoint/*"
            ],
            "Condition": {
                "StringEquals": {
                    "ec2:VpceServiceOwner": [
                        "amazon"
                    ]
                }
            }
        }
    ]
}

Steuern der privaten DNS-Namen, die für VPC-Endpunktservices angegeben werden können

Mit dem ec2:VpceServicePrivateDnsName-Bedingungsschlüssel können Sie steuern, welcher VPC-Endpunktservice basierend auf dem privaten DNS-Namen geändert oder erstellt werden kann, der dem VPC-Endpunktservice zugeordnet ist. Im folgenden Beispiel wird die Berechtigung zum Erstellen eines VPC-Endpunktservices mit dem angegebenen privaten DNS-Namen erteilt. Um dieses Beispiel zu verwenden, ersetzen Sie die Region, die Konto-ID und den privaten DNS-Namen.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:ModifyVpcEndpointServiceConfiguration",
                "ec2:CreateVpcEndpointServiceConfiguration"
            ],
            "Resource": [
                "arn:aws:ec2:region:account-id:vpc-endpoint-service/*"
            ],
            "Condition": {
                "StringEquals": {
                    "ec2:VpceServicePrivateDnsName": [
                        "example.com"
                    ]
                }
            }
        }
    ]
}

Steuern der Servicenamen, die für VPC-Endpunktservices angegeben werden können

Mit dem Bedingungsschlüssel ec2:VpceServiceName können Sie steuern, welcher VPC-Endpunkt basierend auf dem Namen des VPC-Endpunktservice erstellt werden kann. Im folgenden Beispiel wird die Berechtigung zum Erstellen eines VPC-Endpunkts mit dem angegebenen Servicenamen erteilt. Um dieses Beispiel zu verwenden, ersetzen Sie die Region, die Konto-ID und den Servicenamen.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "ec2:CreateVpcEndpoint",
            "Resource": [
                "arn:aws:ec2:region:account-id:vpc/*",
                "arn:aws:ec2:region:account-id:security-group/*",
                "arn:aws:ec2:region:account-id:subnet/*",
                "arn:aws:ec2:region:account-id:route-table/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": "ec2:CreateVpcEndpoint",
            "Resource": [
                "arn:aws:ec2:region:account-id:vpc-endpoint/*"
            ],
            "Condition": {
                "StringEquals": {
                    "ec2:VpceServiceName": [
                        "com.amazonaws.region.s3"
                    ]
                }
            }
        }
    ]
}