Contrôlez l'accès aux VPC terminaux à l'aide des politiques relatives aux terminaux - Amazon Virtual Private Cloud
ConsidérationsPolitique de point de terminaison par défautPolitiques relatives aux points de terminaison d'interfacePrincipaux pour les points de terminaison de passerelleMettre à jour une politique relative aux VPC terminaux

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Contrôlez l'accès aux VPC terminaux à l'aide des politiques relatives aux terminaux

Une politique de point de terminaison est une politique basée sur les ressources que vous attachez à un VPC point de terminaison pour contrôler quels AWS principaux peuvent utiliser le point de terminaison pour accéder à un. Service AWS

Une stratégie de point de terminaison n’annule ni ne remplace les politiques basées sur l'identité ni sur les ressources. Par exemple, si vous utilisez un point de terminaison d'interface pour vous connecter à Amazon S3, vous pouvez également utiliser les politiques relatives aux compartiments Amazon S3 pour contrôler l'accès aux compartiments à partir de points de terminaison spécifiques ou spécifiques. VPCs

Considérations

  • Une politique de point de terminaison est un document de JSON stratégie qui utilise le langage IAM de politique. Elle doit contenir un élément Principal. La taille d'une politique de point de terminaison ne peut excéder 20 480 caractères, espaces blancs compris.

  • Lorsque vous créez une interface ou un point de terminaison de passerelle pour un Service AWS, vous pouvez associer une politique de point de terminaison unique au point de terminaison. Vous pouvez mettre à jour la politique de point de terminaison à tout moment. Si vous n'associez pas une politique de point de terminaison, nous associons la politique de point de terminaison par défaut.

  • Toutes ne sont pas Services AWS compatibles avec les politiques relatives aux terminaux. Si an Service AWS ne prend pas en charge les politiques relatives aux terminaux, nous autorisons l'accès complet à n'importe quel point de terminaison pour le service. Pour de plus amples informations, veuillez consulter Afficher la prise en charge de stratégie de point de terminaison.

  • Lorsque vous créez un VPC point de terminaison pour un service de point de terminaison autre qu'un Service AWS, nous autorisons un accès complet au point de terminaison.

  • Vous ne pouvez pas utiliser de caractères génériques (* ou ?) ou des opérateurs de condition numériques avec des clés de contexte globales qui font référence à des identifiants générés par le système (par exemple, ou). aws:PrincipalAccount aws:SourceVpc

  • Lorsque vous utilisez un opérateur de condition de chaîne, vous devez utiliser au moins six caractères consécutifs avant ou après chaque caractère générique.

  • Lorsque vous spécifiez un élément ARN dans une ressource ou une condition, la partie du compte ARN peut inclure un identifiant de compte ou un caractère générique, mais pas les deux.

Politique de point de terminaison par défaut

La politique de point de terminaison par défaut accorde un accès total au point de terminaison.

{
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": "*",
            "Action": "*",
            "Resource": "*"
        }
    ]
}

Politiques relatives aux points de terminaison d'interface

Par exemple, les politiques relatives aux terminaux pour Services AWS, voirServices AWS qui s'intègrent à AWS PrivateLink. La première colonne du tableau contient des liens vers la AWS PrivateLink documentation de chacun d'entre eux Service AWS. Si un Service AWS prend en charge les politiques relatives aux terminaux, sa documentation inclut des exemples de politiques relatives aux points de terminaison.

Principaux pour les points de terminaison de passerelle

Pour * les points de terminaison de passerelle, l'Principalélément doit être défini sur. Pour spécifier un principal, utilisez la clé de aws:PrincipalArn condition.

"Condition": {
    "StringEquals": {
        "aws:PrincipalArn": "arn:aws:iam::123456789012:user/endpointuser"
    }
}

Si vous spécifiez le principal dans le format suivant, l'accès n'est accordé Utilisateur racine d'un compte AWS qu'aux seuls utilisateurs et rôles du compte, et non à tous.

"AWS": "account_id"

Pour obtenir des exemples de politiques de point de terminaison relatives aux points de terminaison de la passerelle, veuillez consulter ce qui suit :

Mettre à jour une politique relative aux VPC terminaux

Utilisez la procédure suivante pour mettre à jour une politique de point de terminaison relative à un Service AWS. Après avoir mis à jour une politique de point de terminaison, il faut parfois quelques minutes pour que les changements prennent effet.

Pour mettre à jour une politique de point de terminaison à l'aide de la console

  1. Ouvrez la VPC console Amazon à l'adresse https://console.aws.amazon.com/vpc/.

  2. Dans le panneau de navigation, choisissez Points de terminaison.

  3. Sélectionnez le VPC point de terminaison.

  4. Choisissez Actions, Manage policy (Gérer la politique).

  5. Choisissez Full Access (Accès complet) pour autoriser un accès complet au service, ou choisissez Custom (Personnalisé) et joignez une politique personnalisée.

  6. Choisissez Save (Enregistrer).

Pour mettre à jour une politique de point de terminaison à l'aide de la ligne de commande