Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Exemples de politiques basées sur l'identité pour AWS PrivateLink
Par défaut, les utilisateurs et les rôles ne sont pas autorisés à créer ou modifier les ressources AWS PrivateLink . Ils ne peuvent pas non plus effectuer de tâches en utilisant le AWS Management Console, AWS Command Line Interface (AWS CLI) ou AWS API. Pour autoriser les utilisateurs à effectuer des actions sur les ressources dont ils ont besoin, un IAM administrateur peut créer des IAM politiques. L'administrateur peut ensuite ajouter les IAM politiques aux rôles, et les utilisateurs peuvent assumer les rôles.
Pour savoir comment créer une politique IAM basée sur l'identité à l'aide de ces exemples de documents de JSON stratégie, consultez la section Création de IAM politiques dans le guide de l'IAMutilisateur.
Pour plus de détails sur les actions et les types de ressources définis par AWS PrivateLink, y compris le format de ARNs pour chacun des types de ressources, consultez la section Actions, ressources et clés de condition pour Amazon EC2 dans le Service Authorization Reference.
Exemples
- Contrôlez l'utilisation des points de VPC terminaison
- Contrôlez la création VPC de points de terminaison en fonction du propriétaire du service
- Contrôlez les DNS noms privés qui peuvent être spécifiés pour les services de point de VPC terminaison
- Contrôlez les noms de service qui peuvent être spécifiés pour les services de point de VPC terminaison
Contrôlez l'utilisation des points de VPC terminaison
Par défaut, les utilisateurs ne sont pas autorisés à utiliser des points de terminaison. Vous pouvez créer une stratégie basée sur l’identité qui autorise les utilisateurs à créer, modifier, décrire et supprimer des points de terminaison. Voici un exemple.
{ "Version": "2012-10-17", "Statement":[ { "Effect": "Allow", "Action":"ec2:*VpcEndpoint*", "Resource":"*" } ] }
Pour plus d'informations sur le contrôle de l'accès aux services à l'aide de VPC points de terminaison, consultezContrôlez l'accès aux VPC terminaux à l'aide des politiques relatives aux terminaux.
Contrôlez la création VPC de points de terminaison en fonction du propriétaire du service
Vous pouvez utiliser la clé de ec2:VpceServiceOwner
condition pour contrôler quel VPC point de terminaison peut être créé en fonction du propriétaire du service (amazon
,aws-marketplace
, ou de l'ID du compte). L'exemple suivant accorde l'autorisation de créer des VPC points de terminaison avec le propriétaire du service spécifié. Pour utiliser cet exemple, remplacez la région, l'ID de compte et le propriétaire de service.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "ec2:CreateVpcEndpoint", "Resource": [ "arn:aws:ec2:
region
:account-id
:vpc/*", "arn:aws:ec2:region
:account-id
:security-group/*", "arn:aws:ec2:region
:account-id
:subnet/*", "arn:aws:ec2:region
:account-id
:route-table/*" ] }, { "Effect": "Allow", "Action": "ec2:CreateVpcEndpoint", "Resource": [ "arn:aws:ec2:region
:account-id
:vpc-endpoint/*" ], "Condition": { "StringEquals": { "ec2:VpceServiceOwner": [ "amazon
" ] } } } ] }
Contrôlez les DNS noms privés qui peuvent être spécifiés pour les services de point de VPC terminaison
Vous pouvez utiliser la clé de ec2:VpceServicePrivateDnsName
condition pour contrôler quel service de point de VPC terminaison peut être modifié ou créé en fonction du DNS nom privé associé au service de point de VPC terminaison. L'exemple suivant accorde l'autorisation de créer un service de VPC point de terminaison avec le DNS nom privé spécifié. Pour utiliser cet exemple, remplacez la région, l'ID du compte et le DNS nom privé.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:ModifyVpcEndpointServiceConfiguration", "ec2:CreateVpcEndpointServiceConfiguration" ], "Resource": [ "arn:aws:ec2:
region
:account-id
:vpc-endpoint-service/*" ], "Condition": { "StringEquals": { "ec2:VpceServicePrivateDnsName": [ "example.com
" ] } } } ] }
Contrôlez les noms de service qui peuvent être spécifiés pour les services de point de VPC terminaison
Vous pouvez utiliser la clé de ec2:VpceServiceName
condition pour contrôler quel VPC point de terminaison peut être créé en fonction du nom du service du VPC point de terminaison. L'exemple suivant accorde l'autorisation de créer un VPC point de terminaison avec le nom de service spécifié. Pour utiliser cet exemple, remplacez la région, l'ID de compte et le nom de service.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "ec2:CreateVpcEndpoint", "Resource": [ "arn:aws:ec2:
region
:account-id
:vpc/*", "arn:aws:ec2:region
:account-id
:security-group/*", "arn:aws:ec2:region
:account-id
:subnet/*", "arn:aws:ec2:region
:account-id
:route-table/*" ] }, { "Effect": "Allow", "Action": "ec2:CreateVpcEndpoint", "Resource": [ "arn:aws:ec2:region
:account-id
:vpc-endpoint/*" ], "Condition": { "StringEquals": { "ec2:VpceServiceName": [ "com.amazonaws.region
.s3
" ] } } } ] }