Steuern des Zugriffs auf VPC-Endpunkte mithilfe von Endpunktrichtlinien - Amazon Virtual Private Cloud
ÜberlegungenStandard-EndpunktrichtlinieRichtlinien für SchnittstellenendpunktePrinzipale für Gateway-EndpunkteAktualisieren einer VPC-Endpunktrichtlinie

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Steuern des Zugriffs auf VPC-Endpunkte mithilfe von Endpunktrichtlinien

Eine Endpunktrichtlinie ist eine ressourcenbasierte Richtlinie, die Sie an einen VPC-Endpunkt anhängen, um zu steuern, welche AWS Prinzipale den Endpunkt für den Zugriff auf einen verwenden können. AWS-Service

Eine Endpunktrichtlinie setzt keine identitätsbasierten Richtlinien oder ressourcenbasierten Richtlinien außer Kraft oder ersetzt sie. Wenn Sie beispielsweise einen Schnittstellenendpunkt verwenden, um eine Verbindung zu Amazon S3 herzustellen, können Sie auch Amazon S3 S3-Bucket-Richtlinien verwenden, um den Zugriff auf Buckets von bestimmten Endpunkten oder bestimmten zu kontrollieren. VPCs

Überlegungen

  • Eine Endpunktrichtlinie ist ein JSON-Richtliniendokument, das die IAM-Richtliniensprache verwendet. Sie muss ein Prinzipal-Element enthalten. Die Größe einer Endpunktrichtlinie darf 20.480 Zeichen (einschließlich Leerzeichen) nicht überschreiten.

  • Wenn Sie eine Schnittstelle oder einen Gateway-Endpunkt für einen erstellen AWS-Service, können Sie eine einzelne Endpunktrichtlinie an den Endpunkt anhängen. Sie können die Endpunktrichtlinie jederzeit aktualisieren. Wenn Sie keine Endpunktrichtlinie anfügen, fügen wir die Standard-Endpunktrichtlinie hinzu.

  • Nicht alle AWS-Services unterstützen Endpunktrichtlinien. Wenn an AWS-Service keine Endpunktrichtlinien unterstützt, gewähren wir vollen Zugriff auf jeden Endpunkt für den Service. Weitere Informationen finden Sie unter Anzeigen der Unterstützung für Endpunkt-Richtlinien.

  • Wenn Sie einen VPC-Endpunkt für einen anderen Endpunktservice als einen AWS-Service erstellen, lassen wir vollen Zugriff auf den Endpunkt zu.

  • Sie können keine Platzhalterzeichen (* oder?) verwenden oder numerische Bedingungsoperatoren mit globalen Kontextschlüsseln, die auf vom System generierte Bezeichner verweisen (z. B. oder). aws:PrincipalAccount aws:SourceVpc

  • Wenn Sie einen Bedingungsoperator für Zeichenfolgen verwenden, müssen Sie vor oder nach jedem Platzhalterzeichen mindestens sechs aufeinanderfolgende Zeichen verwenden.

  • Wenn Sie einen ARN in einem Ressourcen- oder Bedingungselement angeben, kann der Kontoteil des ARN eine Konto-ID oder ein Platzhalterzeichen enthalten, jedoch nicht beides.

Standard-Endpunktrichtlinie

Die Standard-Endpunktrichtlinie lässt vollen Zugriff auf den Endpunkt zu.

{
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": "*",
            "Action": "*",
            "Resource": "*"
        }
    ]
}

Richtlinien für Schnittstellenendpunkte

Beispiele für Endpunktrichtlinien für finden Sie AWS-Services unterAWS-Services die sich integrieren mit AWS PrivateLink. Die erste Spalte der Tabelle enthält Links zur jeweiligen AWS PrivateLink Dokumentation AWS-Service. Wenn ein AWS-Service Endpunktrichtlinien unterstützt, enthält seine Dokumentation Beispiele für Endpunktrichtlinien.

Prinzipale für Gateway-Endpunkte

Bei Gateway-Endpunkten muss das Principal Element auf eingestellt sein*. Verwenden Sie den aws:PrincipalArn Bedingungsschlüssel, um einen Prinzipal anzugeben.

"Condition": {
    "StringEquals": {
        "aws:PrincipalArn": "arn:aws:iam::123456789012:user/endpointuser"
    }
}

Wenn Sie den Prinzipal im folgenden Format angeben, wird der Zugriff Root-Benutzer des AWS-Kontos nur den Benutzern und Rollen für das Konto gewährt, nicht allen Benutzern und Rollen.

"AWS": "account_id"

Beispiele für Endpunktrichtlinien für Gateway-Endpunkte finden Sie in den folgenden Themen:

Aktualisieren einer VPC-Endpunktrichtlinie

Gehen Sie wie folgt vor, um eine Endpunktrichtlinie für einen AWS-Service zu aktualisieren. Nachdem Sie eine Endpunktrichtlinie aktualisiert haben, kann es einige Minuten dauern, bis die Änderungen wirksam werden.

Ändern einer Endpunktrichtlinie mithilfe der Konsole

  1. Öffnen Sie die Amazon-VPC-Konsole unter https://console.aws.amazon.com/vpc/.

  2. Wählen Sie im Navigationsbereich Endpunkte aus.

  3. Wählen Sie den VPC-Endpunkt.

  4. Wählen Sie Actions (Aktionen), Manage policy (Verwalten von Richtlinien).

  5. Wählen Sie Full Access (Voller Zugriff), um vollen Zugriff auf den Service zu gewähren, oder wählen Sie Custom (Benutzerdefiniert), und fügen Sie eine benutzerdefinierte Richtlinie hinzu.

  6. Wählen Sie Save (Speichern) aus.

Ändern einer Endpunktrichtlinie mithilfe der Befehlszeile