Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Ejemplos de políticas basadas en la identidad para AWS PrivateLink

De forma predeterminada, los usuarios y roles no tienen permiso para crear, ver ni modificar recursos de AWS PrivateLink . Tampoco pueden realizar tareas mediante la AWS Management Console, AWS Command Line Interface (AWS CLI) o la AWS API. Un administrador de IAM puede crear políticas de IAM para conceder permisos a los usuarios para realizar acciones en los recursos que necesitan. A continuación, el administrador puede añadir las políticas de IAM a roles y los usuarios pueden asumirlos.

Para obtener información acerca de cómo crear una política basada en identidades de IAM mediante el uso de estos documentos de políticas JSON de ejemplo, consulte Creación de políticas de IAM en la Guía del usuario de IAM.

Para obtener más información sobre las acciones y los tipos de recursos definidos por AWS PrivateLink, incluido el formato de los ARN para cada uno de los tipos de recursos, consulte Acciones, recursos y claves de condición de Amazon EC2 en la Referencia de autorización de servicios.

Control del uso de puntos de enlace de la VPC

De forma predeterminada, los usuarios no tienen permiso para trabajar con puntos de conexión. Puede crear una política basada en identidad que conceda permisos a los usuarios para crear, modificar, describir y eliminar puntos de conexión. A continuación, se muestra un ejemplo.

{
    "Version": "2012-10-17",
    "Statement":[
        {
            "Effect": "Allow",
            "Action":"ec2:*VpcEndpoint*",
            "Resource":"*"
        }
    ]
}

Para obtener información acerca del control de acceso a servicios utilizando puntos de enlace de la VPC, consulte Uso de políticas de punto de conexión para controlar el acceso a puntos de conexión de VPC.

Control de la creación de puntos de enlace de la VPC en función del propietario del servicio

Puede usar la clave de condición ec2:VpceServiceOwner para controlar qué punto de enlace de la VPC se puede crear en función de quién sea el propietario del servicio (amazon, aws-marketplace o el ID de cuenta). En el siguiente ejemplo se concede permiso para crear extremos de VPC con el propietario del servicio especificado. Para utilizar este ejemplo, cambie la región, el ID de cuenta y el propietario del servicio.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "ec2:CreateVpcEndpoint",
            "Resource": [
                "arn:aws:ec2:region:account-id:vpc/*",
                "arn:aws:ec2:region:account-id:security-group/*",
                "arn:aws:ec2:region:account-id:subnet/*",
                "arn:aws:ec2:region:account-id:route-table/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": "ec2:CreateVpcEndpoint",
            "Resource": [
                "arn:aws:ec2:region:account-id:vpc-endpoint/*"
            ],
            "Condition": {
                "StringEquals": {
                    "ec2:VpceServiceOwner": [
                        "amazon"
                    ]
                }
            }
        }
    ]
}

Controlar los nombres de DNS privados que pueden especificarse para los servicios de punto de enlace de la VPC

Puede utilizar la clave de condición ec2:VpceServicePrivateDnsName para controlar qué servicio de punto de enlace de la VPC se puede modificar o crear en función del nombre de DNS privado asociado a dicho servicio. En el siguiente ejemplo se concede permiso para crear un servicio de punto de enlace de la VPC con el nombre DNS privado especificado. Para utilizar este ejemplo, cambie la región, el ID de cuenta y el nombre de DNS privado.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:ModifyVpcEndpointServiceConfiguration",
                "ec2:CreateVpcEndpointServiceConfiguration"
            ],
            "Resource": [
                "arn:aws:ec2:region:account-id:vpc-endpoint-service/*"
            ],
            "Condition": {
                "StringEquals": {
                    "ec2:VpceServicePrivateDnsName": [
                        "example.com"
                    ]
                }
            }
        }
    ]
}

Controlar los nombres de servicio que pueden especificarse para los servicios de punto de enlace de la VPC

Puede utilizar la clave de condición ec2:VpceServiceName para controlar qué punto de enlace de la VPC se puede crear en función del nombre del servicio de punto de enlace de la VPC. En el siguiente ejemplo se concede permiso para crear un punto de enlace de la VPC con el nombre del servicio especificado. Para utilizar este ejemplo, cambie la región, el ID de cuenta y el nombre del servicio.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "ec2:CreateVpcEndpoint",
            "Resource": [
                "arn:aws:ec2:region:account-id:vpc/*",
                "arn:aws:ec2:region:account-id:security-group/*",
                "arn:aws:ec2:region:account-id:subnet/*",
                "arn:aws:ec2:region:account-id:route-table/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": "ec2:CreateVpcEndpoint",
            "Resource": [
                "arn:aws:ec2:region:account-id:vpc-endpoint/*"
            ],
            "Condition": {
                "StringEquals": {
                    "ec2:VpceServiceName": [
                        "com.amazonaws.region.s3"
                    ]
                }
            }
        }
    ]
}