Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
IAM (Identity and Access Management) pour appairage de VPC
Par défaut, les utilisateurs d' ne peuvent pas créer ou modifier de connexions d'appairage de VPC. Pour accorder l'accès aux ressources d'appairage de VPC, attachez une politique IAM à une identité IAM, telle qu'un rôle.
Exemples
Pour obtenir la liste des actions Amazon VPC, et connaître les ressources et les clés de conditions prises en charge pour chaque action, consultez Actions, ressources et clés de condition pour Amazon EC2 dans le Guide de l'utilisateur IAM.
Exemple : créer une connexion d'appairage de VPC
La stratégie suivante octroie aux utilisateurs l'autorisation de créer des demandes de connexion d'appairage de VPC en utilisant des VPC dont la balise est Purpose=Peering. La première instruction applique une clé de condition (ec2:ResourceTag) à la ressource du VPC. Notez que la ressource du VPC pour l'action CreateVpcPeeringConnection est toujours le VPC demandeur.
La deuxième instruction autorise les utilisateurs à créer les ressources de connexion d'appairage de VPC et utilise donc le caractère générique * au lieu d'un ID de ressource spécifique.
{ "Version": "2012-10-17", "Statement":[ { "Effect":"Allow", "Action": "ec2:CreateVpcPeeringConnection", "Resource": "arn:aws:ec2:region:account-id:vpc/*", "Condition": { "StringEquals": { "ec2:ResourceTag/Purpose": "Peering" } } }, { "Effect": "Allow", "Action": "ec2:CreateVpcPeeringConnection", "Resource": "arn:aws:ec2:region:account-id:vpc-peering-connection/*" } ] }
La stratégie suivante octroie aux utilisateurs du compte AWS spécifié l'autorisation de créer des connexions d'appairage de VPC grâce à n'importe quel VPC dans la région spécifiée, mais uniquement si celui qui accepte la connexion d'appairage est un VPC spécifique dans un compte spécifique.
{ "Version": "2012-10-17", "Statement": [ { "Effect":"Allow", "Action": "ec2:CreateVpcPeeringConnection", "Resource": "arn:aws:ec2:region:account-id-1:vpc/*" }, { "Effect": "Allow", "Action": "ec2:CreateVpcPeeringConnection", "Resource": "arn:aws:ec2:region:account-id-1:vpc-peering-connection/*", "Condition": { "ArnEquals": { "ec2:AccepterVpc": "arn:aws:ec2:region:account-id-2:vpc/vpc-id" } } } ] }
Exemple : accepter une connexion d'appairage de VPC
La stratégie suivante octroie aux utilisateurs l'autorisation d'accepter des demandes de connexion d'appairage de VPC depuis un compte AWS spécifique. Elle permet d'empêcher les utilisateurs d'accepter des demandes de connexion d'appairage de VPC depuis des comptes inconnus. L'instruction utilise la clé de condition ec2:RequesterVpc pour la faire appliquer.
{ "Version": "2012-10-17", "Statement":[ { "Effect":"Allow", "Action": "ec2:AcceptVpcPeeringConnection", "Resource": "arn:aws:ec2:region:account-id-1:vpc-peering-connection/*", "Condition": { "ArnEquals": { "ec2:RequesterVpc": "arn:aws:ec2:region:account-id-2:vpc/*" } } } ] }
La politique suivante octroie aux utilisateurs l'autorisation accepter des demandes d'appairage de VPC si le VPC a l'identification Purpose=Peering.
{ "Version": "2012-10-17", "Statement":[ { "Effect": "Allow", "Action": "ec2:AcceptVpcPeeringConnection", "Resource": "arn:aws:ec2:region:account-id:vpc/*", "Condition": { "StringEquals": { "ec2:ResourceTag/Purpose": "Peering" } } } ] }
Exemple : supprimer une connexion d'appairage de VPC
La stratégie suivante octroie aux utilisateurs l'autorisation du compte spécifié de supprimer toute connexion d'appairage de VPC, sauf celles qui utilisent le VPC spécifié, qui est dans le même compte. La stratégie spécifie les deux clés de condition ec2:AccepterVpc et ec2:RequesterVpc, puisque le VPC a peut-être été le VPC demandeur ou le VPC pair dans la demande de connexion d'appairage de VPC d'origine.
{ "Version": "2012-10-17", "Statement": [ { "Effect":"Allow", "Action": "ec2:DeleteVpcPeeringConnection", "Resource": "arn:aws:ec2:region:account-id:vpc-peering-connection/*", "Condition": { "ArnNotEquals": { "ec2:AccepterVpc": "arn:aws:ec2:region:account-id:vpc/vpc-id", "ec2:RequesterVpc": "arn:aws:ec2:region:account-id:vpc/vpc-id" } } } ] }
Exemple : utiliser dans un compte spécifique
La stratégie suivante octroie aux utilisateurs l'autorisation d'utiliser des connexions d'appairage de VPC dans un compte spécifique. Les utilisateurs peuvent afficher, créer, accepter, rejeter et supprimer des connexions d'appairage de VPC, à condition qu'elles soient toutes dans le même compte AWS.
La première instruction octroie aux utilisateurs l'autorisation de voir toutes les connexions d'appairage de VPC. L'élément Resource exige un caractère générique * dans ce cas, puisque cette action d'API (DescribeVpcPeeringConnections) ne prend pas en charge de permissions au niveau des ressources pour le moment.
La deuxième instruction octroie aux utilisateurs l'autorisation de créer des connexions d'appairage de VPC et, dans ce but, d'accéder à tous les VPC dans le compte spécifié.
La troisième instruction utilise un caractère générique * dans le cadre de l'élément Action pour octroyer l'autorisation de toutes les actions de connexion d'appairage de VPC. Les clés de condition garantissent que les actions peuvent uniquement être effectuées sur des connexions d'appairage de VPC avec des VPC qui font partie du compte. Par exemple, un utilisateur ne peut pas supprimer une connexion d'appairage de VPC si le VPC demandeur ou accepteur est dans un compte différent. Un utilisateur ne peut pas créer de connexion d'appairage de VPC avec un VPC dans un compte différent.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "ec2:DescribeVpcPeeringConnections", "Resource": "*" }, { "Effect": "Allow", "Action": ["ec2:CreateVpcPeeringConnection","ec2:AcceptVpcPeeringConnection"], "Resource": "arn:aws:ec2:*:account-id:vpc/*" }, { "Effect": "Allow", "Action": "ec2:*VpcPeeringConnection", "Resource": "arn:aws:ec2:*:account-id:vpc-peering-connection/*", "Condition": { "ArnEquals": { "ec2:AccepterVpc": "arn:aws:ec2:*:account-id:vpc/*", "ec2:RequesterVpc": "arn:aws:ec2:*:account-id:vpc/*" } } } ] }
Exemple : gérer les connexions d'appairage de VPC à l'aide de la console
Pour voir les connexions d'appairage de VPC dans la console Amazon VPC, les utilisateurs doivent être autorisés à utiliser l'action ec2:DescribeVpcPeeringConnections. Pour utiliser la page Créer une connexion d'appairage, les utilisateurs doivent être autorisés à utiliser l'action ec2:DescribeVpcs. Cela leur permet de consulter et de sélectionner un VPC. Vous pouvez appliquer des permissions au niveau des ressources à toutes les actions ec2:*PeeringConnection, sauf ec2:DescribeVpcPeeringConnections.
La stratégie suivante octroie aux utilisateurs l'autorisation de visualiser des connexions d'appairage de VPC et d'utiliser la boîte de dialogue Create VPC Peering Connection (Créer une connexion d'appairage de VPC) pour créer une connexion d'appairage en utilisant uniquement un VPC demandeur spécifique. Si les utilisateurs essayent de créer une connexion d'appairage de VPC avec un VPC demandeur différent, la demande échoue.
{ "Version": "2012-10-17", "Statement": [ { "Effect":"Allow", "Action": [ "ec2:DescribeVpcPeeringConnections", "ec2:DescribeVpcs" ], "Resource": "*" }, { "Effect":"Allow", "Action": "ec2:CreateVpcPeeringConnection", "Resource": [ "arn:aws:ec2:*:*:vpc/vpc-id", "arn:aws:ec2:*:*:vpc-peering-connection/*" ] } ] }
