Utilisation des stratégies de point de terminaison pour contrôler l'accès à des points de terminaison d’un VPC - Amazon Virtual Private Cloud
ConsidérationsPolitique de point de terminaison par défautPolitiques relatives aux points de terminaison d'interfacePrincipaux pour les points de terminaison de passerelleMise à jour d'une politique de point de terminaison d’un VPC

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Utilisation des stratégies de point de terminaison pour contrôler l'accès à des points de terminaison d’un VPC

Une politique de point de terminaison est une politique basée sur les ressources que vous attachez à un point de terminaison VPC pour contrôler quels AWS principaux peuvent utiliser le point de terminaison pour accéder à un. Service AWS

Une stratégie de point de terminaison n’annule ni ne remplace les politiques basées sur l'identité ni sur les ressources. Par exemple, si vous utilisez un point de terminaison d'interface pour vous connecter à Amazon S3, vous pouvez également utiliser les politiques de compartiment Amazon S3 pour contrôler l'accès aux compartiments depuis des points de terminaison ou des VPC spécifiques.

Considérations

  • Une politique de point de terminaison est un document de politique JSON qui utilise le langage de politique IAM. Elle doit contenir un élément Principal. La taille d'une politique de point de terminaison ne peut excéder 20 480 caractères, espaces blancs compris.

  • Lorsque vous créez une interface ou un point de terminaison de passerelle pour un Service AWS, vous pouvez associer une politique de point de terminaison unique au point de terminaison. Vous pouvez mettre à jour la politique de point de terminaison à tout moment. Si vous n'associez pas une politique de point de terminaison, nous associons la politique de point de terminaison par défaut.

  • Toutes ne sont pas Services AWS compatibles avec les politiques relatives aux terminaux. Si an Service AWS ne prend pas en charge les politiques relatives aux terminaux, nous autorisons l'accès complet à n'importe quel point de terminaison pour le service. Pour plus d’informations, consultez Afficher la prise en charge de stratégie de point de terminaison.

  • Lorsque vous créez un point de terminaison d'un VPC pour un service de point de terminaison autre qu'un Service AWS, nous autorisons un accès complet au point de terminaison.

Politique de point de terminaison par défaut

La politique de point de terminaison par défaut accorde un accès total au point de terminaison.

{
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": "*",
            "Action": "*",
            "Resource": "*"
        }
    ]
}

Politiques relatives aux points de terminaison d'interface

Par exemple, les politiques relatives aux terminaux pour Services AWS, voirServices AWS qui s'intègrent à AWS PrivateLink. La première colonne du tableau contient des liens vers la AWS PrivateLink documentation de chacun d'entre eux Service AWS. Si un Service AWS prend en charge les politiques relatives aux terminaux, sa documentation inclut des exemples de politiques relatives aux points de terminaison.

Principaux pour les points de terminaison de passerelle

Pour * les points de terminaison de passerelle, l'Principalélément doit être défini sur. Pour spécifier un principal, utilisez la clé de aws:PrincipalArn condition.

"Condition": {
    "StringEquals": {
        "aws:PrincipalArn": "arn:aws:iam::123456789012:user/endpointuser"
    }
}

Si vous spécifiez le principal dans le format suivant, l'accès n'est accordé Utilisateur racine d'un compte AWS qu'aux seuls utilisateurs et rôles du compte, et non à tous.

"AWS": "account_id"

Pour obtenir des exemples de politiques de point de terminaison relatives aux points de terminaison de la passerelle, veuillez consulter ce qui suit :

Mise à jour d'une politique de point de terminaison d’un VPC

Utilisez la procédure suivante pour mettre à jour une politique de point de terminaison relative à un Service AWS. Après avoir mis à jour une politique de point de terminaison, il faut parfois quelques minutes pour que les changements prennent effet.

Pour mettre à jour une politique de point de terminaison à l'aide de la console

  1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.

  2. Dans le panneau de navigation, choisissez Points de terminaison.

  3. Sélectionnez le point de terminaison d’un VPC.

  4. Choisissez Actions, Manage policy (Gérer la politique).

  5. Choisissez Full Access (Accès complet) pour autoriser un accès complet au service, ou choisissez Custom (Personnalisé) et joignez une politique personnalisée.

  6. Choisissez Enregistrer.

Pour mettre à jour une politique de point de terminaison à l'aide de la ligne de commande