Consideraciones Política de punto de conexión predeterminada Políticas para puntos de conexión de interfaz Entidades principales para puntos de conexión de puerta de enlace Actualización de una política de punto de conexión de VPC

Uso de políticas de punto de conexión para controlar el acceso a puntos de conexión de VPC

Una política de punto de conexión es una política basada en recursos que se puede asociar a un punto de conexión de VPC para controlar qué entidades principales de AWS pueden utilizar ese punto de conexión para acceder a un Servicio de AWS.

Una política de punto de conexión no anula ni reemplaza las políticas basadas en identidad o basadas en recursos. Por ejemplo, si utiliza un punto de conexión de interfaz para conectarse a Amazon S3, también puede utilizar las políticas de bucket de Amazon S3 para controlar el acceso a los buckets desde puntos de conexión específicos o VPC específicas.

Contenido

Consideraciones
Política de punto de conexión predeterminada
Políticas para puntos de conexión de interfaz
Entidades principales para puntos de conexión de puerta de enlace
Actualización de una política de punto de conexión de VPC

Consideraciones

Una política de punto de conexión es un documento de política JSON que utiliza el lenguaje de políticas de IAM. Debe contener un elemento Principal. El tamaño de una política de punto de conexión no puede superar los 20 480 caracteres, incluidos espacios en blanco.
Cuando se crea un punto de conexión de interfaz o puerta de enlace para un Servicio de AWS, se puede asociar una única política de punto de conexión al punto de conexión. Puede actualizar la política de punto de conexión en cualquier momento. Si no asocia una política de punto de conexión, se adjunta la política de punto de conexión predeterminada.
No todos los Servicios de AWS son compatibles con políticas de punto de conexión. Si un Servicio de AWS no es compatible con políticas de punto de conexión, a ese servicio se le permite acceso completo a cualquier punto de conexión. Para obtener más información, consulte Ver la compatibilidad con las políticas de puntos de conexión.
Cuando se crea un punto de conexión de VPC para un servicio de punto de conexión distinto de un Servicio de AWS, se permite acceso completo al punto de conexión.
No se pueden usar caracteres comodín (* o ?) u operadores de condición numéricos con claves de contexto globales que hacen referencia a los identificadores generados por el sistema (por ejemplo, aws:PrincipalAccount o aws:SourceVpc).
Al usar un operador de condición de cadena, debe usar al menos seis caracteres consecutivos antes o después de cada carácter comodín.
Al especificar un ARN en un elemento de recurso o condición, la parte de cuenta del ARN puede incluir un identificador de cuenta o un carácter comodín, pero no ambos.

Política de punto de conexión predeterminada

La política de punto de conexión predeterminada concede acceso completo al punto de conexión.


{
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": "*",
            "Action": "*",
            "Resource": "*"
        }
    ]
}

Políticas para puntos de conexión de interfaz

Para ver ejemplos de políticas de punto de conexión para Servicios de AWS, consulte Servicios de AWS que se integran con AWS PrivateLink. La primera columna de la tabla contiene enlaces a documentación de AWS PrivateLink para cada Servicio de AWS. Si un Servicio de AWS admite políticas de punto de conexión, su documentación incluye ejemplos de políticas de punto de conexión.

Entidades principales para puntos de conexión de puerta de enlace

En el caso de los puntos de conexión de la puerta de enlace, el elemento Principal debe estar establecido en *. Para especificar una entidad principal, utilice la clave de condición de aws:PrincipalArn.


"Condition": {
    "StringEquals": {
        "aws:PrincipalArn": "arn:aws:iam::123456789012:user/endpointuser"
    }
}

Si especifica la entidad principal en uno el siguiente formato, se concede acceso solo a Usuario raíz de la cuenta de AWS y no a todos los usuarios y roles de la cuenta.


"AWS": "account_id"

Para ver ejemplos de políticas de punto de conexión para puntos de conexión de puerta de enlace, consulte lo siguiente:

Actualización de una política de punto de conexión de VPC

Utilice el siguiente procedimiento para actualizar una política de punto de conexión para un Servicio de AWS. Después de la actualización de una política de punto de conexión, los cambios pueden tardar unos minutos en aplicarse.

Para actualizar una política de punto de conexión mediante la consola

Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.
En el panel de navegación, elija Puntos de conexión.
Seleccione el punto de conexión de VPC.
Elija Acciones, Administrar política.
Elija Acceso completo para permitir el acceso completo al servicio, o bien, elija Personalizar y adjunte una política personalizada.
Seleccione Save (Guardar).

Para actualizar una política de punto de conexión mediante la línea de comandos

modify-vpc-endpoint (AWS CLI)
Edit-EC2VpcEndpoint (Herramientas para Windows PowerShell)

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Ejemplos de políticas basadas en identidades

Métricas de CloudWatch