Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Gestion des identités et des accès pour le VPC peering
Par défaut, les utilisateurs ne peuvent pas créer ou modifier des connexions VPC d'appairage. Pour accorder l'accès aux ressources de VPC peering, associez une IAM politique à une IAM identité, telle qu'un rôle.
Exemples
Pour obtenir la liste des VPC actions Amazon, ainsi que les ressources prises en charge et les clés de conditions pour chaque action, consultez la section Actions, ressources et clés de condition pour Amazon EC2 dans la référence d'autorisation de service.
Exemple : création d'une connexion d'VPCappairage
La politique suivante autorise les utilisateurs à créer des demandes de connexion VPC d'appairage à l'aide de VPCs celles étiquetées avecPurpose=Peering. La première instruction applique une clé de condition (ec2:ResourceTag) à la VPC ressource. Notez que la VPC ressource pour l'CreateVpcPeeringConnectionaction est toujours le demandeur. VPC
La deuxième instruction autorise les utilisateurs à créer les ressources de VPC connexion d'appairage et utilise donc le caractère générique * à la place d'un identifiant de ressource spécifique.
{ "Version": "2012-10-17", "Statement":[ { "Effect":"Allow", "Action": "ec2:CreateVpcPeeringConnection", "Resource": "arn:aws:ec2:region:account-id:vpc/*", "Condition": { "StringEquals": { "ec2:ResourceTag/Purpose": "Peering" } } }, { "Effect": "Allow", "Action": "ec2:CreateVpcPeeringConnection", "Resource": "arn:aws:ec2:region:account-id:vpc-peering-connection/*" } ] }
La politique suivante accorde aux utilisateurs du AWS compte spécifié l'autorisation de créer des connexions d'VPCappairage en utilisant n'importe laquelle VPC dans la région spécifiée, mais uniquement si le compte VPC qui accepte la connexion d'appairage est spécifique VPC à un compte spécifique.
{ "Version": "2012-10-17", "Statement": [ { "Effect":"Allow", "Action": "ec2:CreateVpcPeeringConnection", "Resource": "arn:aws:ec2:region:account-id-1:vpc/*" }, { "Effect": "Allow", "Action": "ec2:CreateVpcPeeringConnection", "Resource": "arn:aws:ec2:region:account-id-1:vpc-peering-connection/*", "Condition": { "ArnEquals": { "ec2:AccepterVpc": "arn:aws:ec2:region:account-id-2:vpc/vpc-id" } } } ] }
Exemple : Accepter une connexion d'VPCappairage
La politique suivante autorise les utilisateurs à accepter les demandes de VPC connexion d'appairage provenant d'un AWS compte spécifique. Cela permet d'empêcher les utilisateurs d'accepter des demandes de connexion par VPC peering provenant de comptes inconnus. L'instruction utilise la clé de condition ec2:RequesterVpc pour la faire appliquer.
{ "Version": "2012-10-17", "Statement":[ { "Effect":"Allow", "Action": "ec2:AcceptVpcPeeringConnection", "Resource": "arn:aws:ec2:region:account-id-1:vpc-peering-connection/*", "Condition": { "ArnEquals": { "ec2:RequesterVpc": "arn:aws:ec2:region:account-id-2:vpc/*" } } } ] }
La politique suivante autorise les utilisateurs à accepter les demandes de VPC peering s'ils VPC possèdent le tagPurpose=Peering.
{ "Version": "2012-10-17", "Statement":[ { "Effect": "Allow", "Action": "ec2:AcceptVpcPeeringConnection", "Resource": "arn:aws:ec2:region:account-id:vpc/*", "Condition": { "StringEquals": { "ec2:ResourceTag/Purpose": "Peering" } } } ] }
Exemple : suppression d'une connexion d'VPCappairage
La politique suivante accorde aux utilisateurs du compte spécifié l'autorisation de supprimer toute connexion d'VPCappairage, à l'exception de celles qui utilisent la connexion spécifiéeVPC, qui se trouve dans le même compte. La politique spécifie à la fois les clés de ec2:RequesterVpc condition ec2:AccepterVpc et les clés de condition, car VPC il peut s'agir du demandeur VPC ou de l'homologue VPC dans la demande de connexion d'VPCappairage d'origine.
{ "Version": "2012-10-17", "Statement": [ { "Effect":"Allow", "Action": "ec2:DeleteVpcPeeringConnection", "Resource": "arn:aws:ec2:region:account-id:vpc-peering-connection/*", "Condition": { "ArnNotEquals": { "ec2:AccepterVpc": "arn:aws:ec2:region:account-id:vpc/vpc-id", "ec2:RequesterVpc": "arn:aws:ec2:region:account-id:vpc/vpc-id" } } } ] }
Exemple : utiliser dans un compte spécifique
La politique suivante autorise les utilisateurs à utiliser des connexions de VPC peering au sein d'un compte spécifique. Les utilisateurs peuvent consulter, créer, accepter, rejeter et supprimer des connexions de VPC peering, à condition qu'elles soient toutes associées au même AWS compte.
La première instruction autorise les utilisateurs à consulter toutes les connexions d'VPCappairage. L'Resourceélément nécessite un caractère générique * dans ce cas, car cette API action (DescribeVpcPeeringConnections) ne prend actuellement pas en charge les autorisations au niveau des ressources.
La deuxième déclaration accorde aux utilisateurs l'autorisation de créer VPC des connexions d'appairage et l'accès VPCs à toutes les connexions du compte spécifié pour ce faire.
La troisième instruction utilise un caractère générique * dans l'Actionélément pour autoriser toutes les actions de connexion par VPC peering. Les clés de condition garantissent que les actions ne peuvent être effectuées VPCs que sur des connexions de VPC peering faisant partie du compte. Par exemple, un utilisateur ne peut pas supprimer une connexion d'VPCappairage si l'accepteur ou le demandeur VPC se trouve sur un autre compte. Un utilisateur ne peut pas créer de connexion de VPC peering avec un VPC compte différent.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "ec2:DescribeVpcPeeringConnections", "Resource": "*" }, { "Effect": "Allow", "Action": ["ec2:CreateVpcPeeringConnection","ec2:AcceptVpcPeeringConnection"], "Resource": "arn:aws:ec2:*:account-id:vpc/*" }, { "Effect": "Allow", "Action": "ec2:*VpcPeeringConnection", "Resource": "arn:aws:ec2:*:account-id:vpc-peering-connection/*", "Condition": { "ArnEquals": { "ec2:AccepterVpc": "arn:aws:ec2:*:account-id:vpc/*", "ec2:RequesterVpc": "arn:aws:ec2:*:account-id:vpc/*" } } } ] }
Exemple : gestion des connexions de VPC peering à l'aide de la console
Pour afficher les connexions VPC de peering dans la VPC console Amazon, les utilisateurs doivent être autorisés à utiliser l'ec2:DescribeVpcPeeringConnectionsaction. Pour utiliser la page Créer une connexion d'appairage, les utilisateurs doivent être autorisés à utiliser l'action ec2:DescribeVpcs. Cela leur donne l'autorisation de consulter et de sélectionner unVPC. Vous pouvez appliquer des permissions au niveau des ressources à toutes les actions ec2:*PeeringConnection, sauf ec2:DescribeVpcPeeringConnections.
La politique suivante autorise les utilisateurs à consulter les connexions d'VPCappairage et à utiliser la boîte de dialogue Créer une connexion d'VPCappairage pour créer une connexion d'VPCappairage à l'aide d'un demandeur spécifique uniquement. VPC Si les utilisateurs essaient de créer une connexion VPC d'appairage avec un autre demandeurVPC, la demande échoue.
{ "Version": "2012-10-17", "Statement": [ { "Effect":"Allow", "Action": [ "ec2:DescribeVpcPeeringConnections", "ec2:DescribeVpcs" ], "Resource": "*" }, { "Effect":"Allow", "Action": "ec2:CreateVpcPeeringConnection", "Resource": [ "arn:aws:ec2:*:*:vpc/vpc-id", "arn:aws:ec2:*:*:vpc-peering-connection/*" ] } ] }
