Consideraciones Política de punto de conexión predeterminada Políticas para puntos de conexión de interfaz Entidades principales para puntos de conexión de puerta de enlace Actualización de una política de punto de conexión de VPC

Uso de políticas de punto de conexión para controlar el acceso a puntos de conexión de VPC

Una política de punto final es una política basada en recursos que se adjunta a un punto final de VPC para controlar qué entidades AWS principales pueden usar el punto final para acceder a un. Servicio de AWS

Una política de punto de conexión no anula ni reemplaza las políticas basadas en identidad o basadas en recursos. Por ejemplo, si utiliza un punto de enlace de interfaz para conectarse a Amazon S3, también puede utilizar las políticas de bucket de Amazon S3 para controlar el acceso a los buckets desde puntos de enlace específicos o específicos. VPCs

Contenido

Consideraciones
Política de punto de conexión predeterminada
Políticas para puntos de conexión de interfaz
Entidades principales para puntos de conexión de puerta de enlace
Actualización de una política de punto de conexión de VPC

Consideraciones

Una política de punto de conexión es un documento de política JSON que utiliza el lenguaje de políticas de IAM. Debe contener un elemento Principal. El tamaño de una política de punto de conexión no puede superar los 20 480 caracteres, incluidos espacios en blanco.
Al crear una interfaz o punto de enlace para un punto de enlace Servicio de AWS, puede adjuntar una política de punto final único al punto final. Puede actualizar la política de punto de conexión en cualquier momento. Si no asocia una política de punto de conexión, se adjunta la política de punto de conexión predeterminada.
No todos Servicios de AWS admiten políticas de puntos finales. Si an Servicio de AWS no es compatible con las políticas de puntos finales, permitimos el acceso total al servicio a cualquier punto final. Para obtener más información, consulte Ver la compatibilidad con las políticas de puntos de conexión.
Cuando se crea un punto de conexión de VPC para un servicio de punto de conexión distinto de un Servicio de AWS, se permite acceso completo al punto de conexión.
No se pueden usar caracteres comodín (* o ?) u operadores de condición numéricos con claves de contexto globales que hacen referencia a los identificadores generados por el sistema (por ejemplo, aws:PrincipalAccount o aws:SourceVpc).
Al usar un operador de condición de cadena, debe usar al menos seis caracteres consecutivos antes o después de cada carácter comodín.
Al especificar un ARN en un elemento de recurso o condición, la parte de cuenta del ARN puede incluir un identificador de cuenta o un carácter comodín, pero no ambos.

Política de punto de conexión predeterminada

La política de punto de conexión predeterminada concede acceso completo al punto de conexión.


{
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": "*",
            "Action": "*",
            "Resource": "*"
        }
    ]
}

Políticas para puntos de conexión de interfaz

Para ver, por ejemplo, las políticas de puntos finales para Servicios de AWS, consulteServicios de AWS que se integran con AWS PrivateLink. La primera columna de la tabla contiene enlaces a la AWS PrivateLink documentación de cada una de ellas Servicio de AWS. Si una empresa Servicio de AWS admite políticas de puntos finales, su documentación incluye ejemplos de políticas de puntos finales.

Entidades principales para puntos de conexión de puerta de enlace

En el caso de los puntos de conexión de la puerta de enlace, el elemento Principal debe estar establecido en *. Para especificar una entidad principal, utilice la clave de condición de aws:PrincipalArn.


"Condition": {
    "StringEquals": {
        "aws:PrincipalArn": "arn:aws:iam::123456789012:user/endpointuser"
    }
}

Si especifica la entidad principal en uno el siguiente formato, se concede acceso solo a Usuario raíz de la cuenta de AWS y no a todos los usuarios y roles de la cuenta.


"AWS": "account_id"

Para ver ejemplos de políticas de punto de conexión para puntos de conexión de puerta de enlace, consulte lo siguiente:

Actualización de una política de punto de conexión de VPC

Utilice el siguiente procedimiento para actualizar una política de punto de conexión para un Servicio de AWS. Después de la actualización de una política de punto de conexión, los cambios pueden tardar unos minutos en aplicarse.

Para actualizar una política de punto de conexión mediante la consola

Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.
En el panel de navegación, elija Puntos de conexión.
Seleccione el punto de conexión de VPC.
Elija Acciones, Administrar política.
Elija Acceso completo para permitir el acceso completo al servicio, o bien elija Personalizar y adjunte una política personalizada.
Seleccione Save (Guardar).

Para actualizar una política de punto de conexión mediante la línea de comandos

modify-vpc-endpoint (AWS CLI)
Edit-EC2VpcEndpoint(Herramientas para Windows PowerShell)

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Ejemplos de políticas basadas en identidades

AWS políticas gestionadas