Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Par défaut, les utilisateurs d' ne peuvent pas créer ou modifier de connexions d'appairage de VPC. Pour accorder l'accès aux ressources d'appairage de VPC, attachez une politique IAM à une identité IAM, telle qu'un rôle.
Exemples
Pour obtenir la liste des actions Amazon VPC, ainsi que les ressources prises en charge et les clés de conditions pour chaque action, consultez la section Actions, ressources et clés de condition pour Amazon EC2 dans la référence d'autorisation de service.
Exemple : créer une connexion d'appairage de VPC
La politique suivante autorise les utilisateurs à créer des demandes de connexion d'appairage VPC à l'aide de celles VPCs étiquetées avec. Purpose=Peering La première instruction applique une clé de condition (ec2:ResourceTag) à la ressource du VPC. Notez que la ressource du VPC pour l'action CreateVpcPeeringConnection est toujours le VPC demandeur.
La deuxième instruction autorise les utilisateurs à créer les ressources de connexion d'appairage de VPC et utilise donc le caractère générique * au lieu d'un ID de ressource spécifique.
{
"Version": "2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action": "ec2:CreateVpcPeeringConnection",
"Resource": "arn:aws:ec2:region:account-id:vpc/*",
"Condition": {
"StringEquals": {
"ec2:ResourceTag/Purpose": "Peering"
}
}
},
{
"Effect": "Allow",
"Action": "ec2:CreateVpcPeeringConnection",
"Resource": "arn:aws:ec2:region:account-id:vpc-peering-connection/*"
}
]
}La politique suivante accorde aux utilisateurs du AWS compte spécifié l'autorisation de créer des connexions d'appairage VPC en utilisant n'importe quel VPC de la région spécifiée, mais uniquement si le VPC qui accepte la connexion d'appairage est un VPC spécifique dans un compte spécifique.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect":"Allow",
"Action": "ec2:CreateVpcPeeringConnection",
"Resource": "arn:aws:ec2:region:account-id-1:vpc/*"
},
{
"Effect": "Allow",
"Action": "ec2:CreateVpcPeeringConnection",
"Resource": "arn:aws:ec2:region:account-id-1:vpc-peering-connection/*",
"Condition": {
"ArnEquals": {
"ec2:AccepterVpc": "arn:aws:ec2:region:account-id-2:vpc/vpc-id"
}
}
}
]
}Exemple : accepter une connexion d'appairage de VPC
La politique suivante autorise les utilisateurs à accepter les demandes de connexion d'appairage VPC provenant d'un compte spécifique. AWS Elle permet d'empêcher les utilisateurs d'accepter des demandes de connexion d'appairage de VPC depuis des comptes inconnus. L'instruction utilise la clé de condition ec2:RequesterVpc pour la faire appliquer.
{
"Version": "2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action": "ec2:AcceptVpcPeeringConnection",
"Resource": "arn:aws:ec2:region:account-id-1:vpc-peering-connection/*",
"Condition": {
"ArnEquals": {
"ec2:RequesterVpc": "arn:aws:ec2:region:account-id-2:vpc/*"
}
}
}
]
}La politique suivante octroie aux utilisateurs l'autorisation accepter des demandes d'appairage de VPC si le VPC a l'identification Purpose=Peering.
{
"Version": "2012-10-17",
"Statement":[
{
"Effect": "Allow",
"Action": "ec2:AcceptVpcPeeringConnection",
"Resource": "arn:aws:ec2:region:account-id:vpc/*",
"Condition": {
"StringEquals": {
"ec2:ResourceTag/Purpose": "Peering"
}
}
}
]
}Exemple : supprimer une connexion d'appairage de VPC
La stratégie suivante octroie aux utilisateurs l'autorisation du compte spécifié de supprimer toute connexion d'appairage de VPC, sauf celles qui utilisent le VPC spécifié, qui est dans le même compte. La stratégie spécifie les deux clés de condition ec2:AccepterVpc et ec2:RequesterVpc, puisque le VPC a peut-être été le VPC demandeur ou le VPC pair dans la demande de connexion d'appairage de VPC d'origine.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect":"Allow",
"Action": "ec2:DeleteVpcPeeringConnection",
"Resource": "arn:aws:ec2:region:account-id:vpc-peering-connection/*",
"Condition": {
"ArnNotEquals": {
"ec2:AccepterVpc": "arn:aws:ec2:region:account-id:vpc/vpc-id",
"ec2:RequesterVpc": "arn:aws:ec2:region:account-id:vpc/vpc-id"
}
}
}
]
}Exemple : utiliser dans un compte spécifique
La stratégie suivante octroie aux utilisateurs l'autorisation d'utiliser des connexions d'appairage de VPC dans un compte spécifique. Les utilisateurs peuvent consulter, créer, accepter, rejeter et supprimer des connexions d'appairage VPC, à condition qu'elles soient toutes associées au même compte. AWS
La première instruction octroie aux utilisateurs l'autorisation de voir toutes les connexions d'appairage de VPC. L'élément Resource exige un caractère générique * dans ce cas, puisque cette action d'API (DescribeVpcPeeringConnections) ne prend pas en charge de permissions au niveau des ressources pour le moment.
La deuxième déclaration autorise les utilisateurs à créer des connexions d'appairage VPC et à accéder VPCs à toutes les connexions du compte spécifié pour ce faire.
La troisième instruction utilise un caractère générique * dans le cadre de l'élément Action pour octroyer l'autorisation de toutes les actions de connexion d'appairage de VPC. Les clés de condition garantissent que les actions ne peuvent être effectuées que sur les connexions d'appairage VPC VPCs associées au compte. Par exemple, un utilisateur ne peut pas supprimer une connexion d'appairage de VPC si le VPC demandeur ou accepteur est dans un compte différent. Un utilisateur ne peut pas créer de connexion d'appairage de VPC avec un VPC dans un compte différent.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "ec2:DescribeVpcPeeringConnections",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": ["ec2:CreateVpcPeeringConnection","ec2:AcceptVpcPeeringConnection"],
"Resource": "arn:aws:ec2:*:account-id:vpc/*"
},
{
"Effect": "Allow",
"Action": "ec2:*VpcPeeringConnection",
"Resource": "arn:aws:ec2:*:account-id:vpc-peering-connection/*",
"Condition": {
"ArnEquals": {
"ec2:AccepterVpc": "arn:aws:ec2:*:account-id:vpc/*",
"ec2:RequesterVpc": "arn:aws:ec2:*:account-id:vpc/*"
}
}
}
]
}Exemple : gérer les connexions d'appairage de VPC à l'aide de la console
Pour voir les connexions d'appairage de VPC dans la console Amazon VPC, les utilisateurs doivent être autorisés à utiliser l'action ec2:DescribeVpcPeeringConnections. Pour utiliser la page Créer une connexion d'appairage, les utilisateurs doivent être autorisés à utiliser l'action ec2:DescribeVpcs. Cela leur permet de consulter et de sélectionner un VPC. Vous pouvez appliquer des permissions au niveau des ressources à toutes les actions ec2:*PeeringConnection, sauf ec2:DescribeVpcPeeringConnections.
La stratégie suivante octroie aux utilisateurs l'autorisation de visualiser des connexions d'appairage de VPC et d'utiliser la boîte de dialogue Create VPC Peering Connection (Créer une connexion d'appairage de VPC) pour créer une connexion d'appairage en utilisant uniquement un VPC demandeur spécifique. Si les utilisateurs essayent de créer une connexion d'appairage de VPC avec un VPC demandeur différent, la demande échoue.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect":"Allow",
"Action": [
"ec2:DescribeVpcPeeringConnections", "ec2:DescribeVpcs"
],
"Resource": "*"
},
{
"Effect":"Allow",
"Action": "ec2:CreateVpcPeeringConnection",
"Resource": [
"arn:aws:ec2:*:*:vpc/vpc-id",
"arn:aws:ec2:*:*:vpc-peering-connection/*"
]
}
]
}