Consideraciones Política de punto de conexión predeterminada Políticas para puntos de conexión de interfaz Entidades principales para puntos de conexión de puerta de enlace Actualice una política VPC de puntos finales

Controle el acceso a los VPC puntos finales mediante políticas de puntos finales

Una política de punto final es una política basada en recursos que se adjunta a un VPC punto final para controlar qué usuarios AWS principales pueden usar el punto final para acceder a un punto final. Servicio de AWS

Una política de punto de conexión no anula ni reemplaza las políticas basadas en identidad o basadas en recursos. Por ejemplo, si utiliza un punto de enlace de interfaz para conectarse a Amazon S3, también puede utilizar las políticas de bucket de Amazon S3 para controlar el acceso a los buckets desde puntos de enlace específicos o específicos. VPCs

Contenido

Consideraciones
Política de punto de conexión predeterminada
Políticas para puntos de conexión de interfaz
Entidades principales para puntos de conexión de puerta de enlace
Actualice una política VPC de puntos finales

Consideraciones

Una política de puntos finales es un documento JSON de política que utiliza el lenguaje de la IAM política. Debe contener un elemento Principal. El tamaño de una política de punto de conexión no puede superar los 20 480 caracteres, incluidos espacios en blanco.
Al crear una interfaz o punto de enlace para un punto final Servicio de AWS, puede adjuntar una política de punto final único al punto final. Puede actualizar la política de punto de conexión en cualquier momento. Si no asocia una política de punto de conexión, se adjunta la política de punto de conexión predeterminada.
No todos Servicios de AWS admiten políticas de puntos finales. Si an Servicio de AWS no es compatible con las políticas de puntos finales, permitimos el acceso total al servicio a cualquier punto final. Para obtener más información, consulte Ver la compatibilidad con las políticas de puntos de conexión.
Al crear un VPC punto final para un servicio de punto final que no sea uno Servicio de AWS, permitimos el acceso total al punto final.
No se pueden usar caracteres comodín (* o ?) u operadores de condición numéricos con claves de contexto globales que hacen referencia a los identificadores generados por el sistema (por ejemplo, aws:PrincipalAccount o aws:SourceVpc).
Al usar un operador de condición de cadena, debe usar al menos seis caracteres consecutivos antes o después de cada carácter comodín.
Al especificar un elemento ARN en un recurso o condición, la parte correspondiente a la cuenta ARN puede incluir un identificador de cuenta o un carácter comodín, pero no ambos.

Política de punto de conexión predeterminada

La política de punto de conexión predeterminada concede acceso completo al punto de conexión.


{
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": "*",
            "Action": "*",
            "Resource": "*"
        }
    ]
}

Políticas para puntos de conexión de interfaz

Para ver, por ejemplo, las políticas de puntos finales de Servicios de AWS, consulteServicios de AWS que se integran con AWS PrivateLink. La primera columna de la tabla contiene enlaces a la AWS PrivateLink documentación de cada una de ellas Servicio de AWS. Si una empresa Servicio de AWS es compatible con las políticas de puntos finales, su documentación incluye ejemplos de políticas de puntos finales.

Entidades principales para puntos de conexión de puerta de enlace

En el caso de los puntos de conexión de la puerta de enlace, el elemento Principal debe estar establecido en *. Para especificar una entidad principal, utilice la clave de condición de aws:PrincipalArn.


"Condition": {
    "StringEquals": {
        "aws:PrincipalArn": "arn:aws:iam::123456789012:user/endpointuser"
    }
}

Si especifica la entidad principal en uno el siguiente formato, se concede acceso solo a Usuario raíz de la cuenta de AWS y no a todos los usuarios y roles de la cuenta.


"AWS": "account_id"

Para ver ejemplos de políticas de punto de conexión para puntos de conexión de puerta de enlace, consulte lo siguiente:

Actualice una política VPC de puntos finales

Utilice el siguiente procedimiento para actualizar una política de punto de conexión para un Servicio de AWS. Después de la actualización de una política de punto de conexión, los cambios pueden tardar unos minutos en aplicarse.

Para actualizar una política de punto de conexión mediante la consola

Abre la VPC consola de Amazon en https://console.aws.amazon.com/vpc/.
En el panel de navegación, elija Puntos de conexión.
Selecciona el VPC punto final.
Elija Acciones, Administrar política.
Elija Acceso completo para permitir el acceso completo al servicio, o bien elija Personalizar y adjunte una política personalizada.
Seleccione Save (Guardar).

Para actualizar una política de punto de conexión mediante la línea de comandos

modify-vpc-endpoint (AWS CLI)
Edit-EC2VpcEndpoint(Herramientas para Windows PowerShell)

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Ejemplos de políticas basadas en identidades

AWS políticas gestionadas