Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Exemples de politiques basées sur l'identité pour AWS PrivateLink

Par défaut, les utilisateurs et les rôles ne sont pas autorisés à créer ou modifier les ressources AWS PrivateLink . Ils ne peuvent pas non plus effectuer de tâches à l'aide de l'API AWS Management Console, AWS Command Line Interface (AWS CLI) ou de AWS l'API. Pour octroyer aux utilisateurs des autorisations d’effectuer des actions sur les ressources dont ils ont besoin, un administrateur IAM peut créer des politiques IAM. L’administrateur peut ensuite ajouter les politiques IAM aux rôles et les utilisateurs peuvent assumer les rôles.

Pour apprendre à créer une politique basée sur l’identité IAM à l’aide de ces exemples de documents de politique JSON, consultez Création de politiques dans l’onglet JSON dans le Guide de l’utilisateur IAM.

Pour plus de détails sur les actions et les types de ressources définis par AWS PrivateLink, y compris le format des ARN pour chacun des types de ressources, consultez la section Actions, ressources et clés de condition pour Amazon EC2 dans le Service Authorization Reference.

Contrôler l'utilisation de points de terminaison d'un VPC

Par défaut, les utilisateurs ne sont pas autorisés à utiliser des points de terminaison. Vous pouvez créer une stratégie basée sur l’identité qui autorise les utilisateurs à créer, modifier, décrire et supprimer des points de terminaison. Voici un exemple.

{
    "Version": "2012-10-17",
    "Statement":[
        {
            "Effect": "Allow",
            "Action":"ec2:*VpcEndpoint*",
            "Resource":"*"
        }
    ]
}

Pour plus d'informations sur le contrôle de l'accès aux services avec des points de terminaison de VPC, consultez Utilisation des stratégies de point de terminaison pour contrôler l'accès à des points de terminaison d’un VPC.

Contrôler la création de points de terminaison d'un VPC en fonction du propriétaire du service

Vous pouvez utiliser la clé de condition ec2:VpceServiceOwner pour contrôler le point de terminaison d’un VPC qui peut être créé en fonction du propriétaire du service (amazon, aws-marketplace ou ID de compte). L'exemple suivant accorde l'autorisation de créer des points de terminaison VPC avec le propriétaire de service spécifié. Pour utiliser cet exemple, remplacez la région, l'ID de compte et le propriétaire de service.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "ec2:CreateVpcEndpoint",
            "Resource": [
                "arn:aws:ec2:region:account-id:vpc/*",
                "arn:aws:ec2:region:account-id:security-group/*",
                "arn:aws:ec2:region:account-id:subnet/*",
                "arn:aws:ec2:region:account-id:route-table/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": "ec2:CreateVpcEndpoint",
            "Resource": [
                "arn:aws:ec2:region:account-id:vpc-endpoint/*"
            ],
            "Condition": {
                "StringEquals": {
                    "ec2:VpceServiceOwner": [
                        "amazon"
                    ]
                }
            }
        }
    ]
}

Contrôle des noms DNS privés pouvant être spécifiés pour les services de point de terminaison d’un VPC

Vous pouvez utiliser la clé de condition ec2:VpceServicePrivateDnsName pour contrôler quel service de point de terminaison d’un VPC peut être modifié ou créé en fonction du nom DNS privé associé au service de point de terminaison VPC. L'exemple suivant accorde l'autorisation de créer un service de point de terminaison d’un VPC avec le nom DNS privé spécifié. Pour utiliser cet exemple, remplacez la région, l'ID de compte et le nom DNS privé.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:ModifyVpcEndpointServiceConfiguration",
                "ec2:CreateVpcEndpointServiceConfiguration"
            ],
            "Resource": [
                "arn:aws:ec2:region:account-id:vpc-endpoint-service/*"
            ],
            "Condition": {
                "StringEquals": {
                    "ec2:VpceServicePrivateDnsName": [
                        "example.com"
                    ]
                }
            }
        }
    ]
}

Contrôle des noms de services pouvant être spécifiés pour les services de point de terminaison d’un VPC

Vous pouvez utiliser la clé de condition ec2:VpceServiceName pour contrôler quel point de terminaison d’un VPC peut être créé en fonction du nom du service de point de terminaison d’un VPC. L'exemple suivant accorde l'autorisation de créer un point de terminaison d’un VPC avec le nom de service spécifié. Pour utiliser cet exemple, remplacez la région, l'ID de compte et le nom de service.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "ec2:CreateVpcEndpoint",
            "Resource": [
                "arn:aws:ec2:region:account-id:vpc/*",
                "arn:aws:ec2:region:account-id:security-group/*",
                "arn:aws:ec2:region:account-id:subnet/*",
                "arn:aws:ec2:region:account-id:route-table/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": "ec2:CreateVpcEndpoint",
            "Resource": [
                "arn:aws:ec2:region:account-id:vpc-endpoint/*"
            ],
            "Condition": {
                "StringEquals": {
                    "ec2:VpceServiceName": [
                        "com.amazonaws.region.s3"
                    ]
                }
            }
        }
    ]
}