Buat koneksi peering VPC Terima koneksi peering VPC Hapus koneksi peering VPC Bekerja dalam akun tertentu Kelola koneksi peering VPC di konsol

Identity and access management untuk peering VPC

Secara default, pengguna tidak dapat membuat atau memodifikasi koneksi peering VPC. Untuk memberikan akses ke sumber daya peering VPC, lampirkan kebijakan IAM ke identitas IAM, seperti peran.

Untuk daftar tindakan VPC Amazon, serta kunci sumber daya dan kondisi yang didukung untuk setiap tindakan, lihat Tindakan, sumber daya, dan kunci kondisi untuk Amazon EC2 di Referensi Otorisasi Layanan.

Contoh: Buat koneksi peering VPC

Kebijakan berikut memberi pengguna izin untuk membuat permintaan koneksi peering VPC VPCs menggunakan yang diberi tag. Purpose=Peering Pernyataan pertama menerapkan kunci persyaratan (ec2:ResourceTag) ke sumber daya VPC. Perhatikan bahwa sumber daya VPC untuk tindakan CreateVpcPeeringConnection adalah selalu VPC peminta.

Pernyataan kedua memberikan izin kepada pengguna untuk membuat sumber daya koneksi peering VPC, dan karenanya menggunakan wildcard * sebagai pengganti ID sumber daya tertentu.


{
  "Version": "2012-10-17",
  "Statement":[
    {
      "Effect":"Allow",
      "Action": "ec2:CreateVpcPeeringConnection",
      "Resource": "arn:aws:ec2:region:account-id:vpc/*",
      "Condition": {
        "StringEquals": {
          "ec2:ResourceTag/Purpose": "Peering"
        }
      }
    },
    {
      "Effect": "Allow",
      "Action": "ec2:CreateVpcPeeringConnection",
      "Resource": "arn:aws:ec2:region:account-id:vpc-peering-connection/*"
    }
  ]
}

Kebijakan berikut memberi pengguna izin AWS akun yang ditentukan untuk membuat koneksi peering VPC menggunakan VPC apa pun di Wilayah tertentu, tetapi hanya jika VPC yang menerima koneksi peering adalah VPC tertentu di akun tertentu.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect":"Allow",
      "Action": "ec2:CreateVpcPeeringConnection",
      "Resource": "arn:aws:ec2:region:account-id-1:vpc/*"
    },
    {
      "Effect": "Allow",
      "Action": "ec2:CreateVpcPeeringConnection",
      "Resource": "arn:aws:ec2:region:account-id-1:vpc-peering-connection/*",
      "Condition": {
        "ArnEquals": {
          "ec2:AccepterVpc": "arn:aws:ec2:region:account-id-2:vpc/vpc-id"
        }
      }
    }
  ]
}

Contoh: Terima koneksi peering VPC

Kebijakan berikut memberikan izin kepada pengguna untuk menerima permintaan koneksi peering VPC dari akun tertentu. AWS Hal ini membantu untuk mencegah pengguna menerima koneksi peering VPC dari akun tak dikenal. Pernyataan menggunakan kunci ec2:RequesterVpc kondisi untuk menegakkan ini.


{
  "Version": "2012-10-17",
  "Statement":[
    {
      "Effect":"Allow",
      "Action": "ec2:AcceptVpcPeeringConnection",
      "Resource": "arn:aws:ec2:region:account-id-1:vpc-peering-connection/*",
      "Condition": {
        "ArnEquals": {
          "ec2:RequesterVpc": "arn:aws:ec2:region:account-id-2:vpc/*"
        }
      }
    }
  ]
}

Kebijakan berikut memberikan izin kepada pengguna untuk menerima permintaan peering VPC jika VPC memiliki tag. Purpose=Peering


{
  "Version": "2012-10-17",
  "Statement":[
    {
      "Effect": "Allow",
      "Action": "ec2:AcceptVpcPeeringConnection",
      "Resource": "arn:aws:ec2:region:account-id:vpc/*",
      "Condition": {
        "StringEquals": {
          "ec2:ResourceTag/Purpose": "Peering"
        }
      }
    }
  ]
}

Contoh: Hapus koneksi peering VPC

Kebijakan berikut memberi pengguna izin akun yang ditentukan untuk menghapus koneksi peering VPC apa pun, kecuali yang menggunakan VPC yang ditentukan, yang berada di akun yang sama. Kebijakan menentukan kunci ec2:AccepterVpc dan ec2:RequesterVpc kondisi, karena VPC mungkin adalah VPC pemohon atau VPC rekan dalam permintaan koneksi peering VPC asli.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect":"Allow",
      "Action": "ec2:DeleteVpcPeeringConnection",
      "Resource": "arn:aws:ec2:region:account-id:vpc-peering-connection/*",
      "Condition": {
        "ArnNotEquals": {
          "ec2:AccepterVpc": "arn:aws:ec2:region:account-id:vpc/vpc-id",
          "ec2:RequesterVpc": "arn:aws:ec2:region:account-id:vpc/vpc-id"
        }
      }
    }
  ]
}

Contoh: Bekerja dalam akun tertentu

Kebijakan berikut memberikan izin kepada pengguna untuk bekerja dengan koneksi peering VPC dalam akun tertentu. Pengguna dapat melihat, membuat, menerima, menolak, dan menghapus koneksi peering VPC, asalkan semuanya berada dalam akun yang sama. AWS

Pernyataan pertama memberi pengguna izin untuk melihat semua koneksi peering VPC. Elemen Resource membutuhkan sebuah wildcard * dalam hal ini, sebagai tindakan API ini (DescribeVpcPeeringConnections) saat ini tidak men-support izin di tingkat sumber daya.

Pernyataan kedua memberikan izin kepada pengguna untuk membuat koneksi peering VPC, dan akses ke VPCs semua akun yang ditentukan untuk melakukannya.

Pernyataan ketiga menggunakan wildcard * sebagai bagian dari Action elemen untuk memberikan izin untuk semua tindakan koneksi peering VPC. Kunci kondisi memastikan bahwa tindakan hanya dapat dilakukan pada koneksi peering VPC dengan VPCs yang merupakan bagian dari akun. Misalnya, pengguna tidak dapat menghapus koneksi peering VPC jika VPC penerima atau pemohon berada di akun yang berbeda. Pengguna tidak dapat membuat koneksi peering VPC dengan VPC di akun yang berbeda.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "ec2:DescribeVpcPeeringConnections",
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": ["ec2:CreateVpcPeeringConnection","ec2:AcceptVpcPeeringConnection"],
      "Resource": "arn:aws:ec2:*:account-id:vpc/*"
    },
    {
      "Effect": "Allow",
      "Action": "ec2:*VpcPeeringConnection",
      "Resource": "arn:aws:ec2:*:account-id:vpc-peering-connection/*",
      "Condition": {
        "ArnEquals": {
          "ec2:AccepterVpc": "arn:aws:ec2:*:account-id:vpc/*",
          "ec2:RequesterVpc": "arn:aws:ec2:*:account-id:vpc/*"
        }
      }
    }
  ]
}

Contoh: Kelola koneksi peering VPC menggunakan konsol

Untuk melihat koneksi peering VPC di konsol Amazon VPC, pengguna harus memiliki izin untuk menggunakan tindakan ec2:DescribeVpcPeeringConnections. Untuk menggunakan laman Buat Koneksi Peering, pengguna harus memiliki izin untuk menggunakan tindakan ec2:DescribeVpcs. Ini memberi mereka izin untuk melihat dan memilih VPC. Anda dapat menerapkan izin di tingkat sumber daya untuk semua tindakan ec2:*PeeringConnection, kecuali ec2:DescribeVpcPeeringConnections.

Kebijakan berikut memberikan izin kepada pengguna untuk melihat koneksi peering VPC, dan menggunakan kotak dialog Create VPC Peering Connection untuk membuat koneksi peering VPC hanya menggunakan VPC pemohon tertentu. Jika pengguna mencoba untuk membuat koneksi peering VPC dengan VPC pemohon yang berbeda, maka permintaan gagal.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect":"Allow",
      "Action": [
        "ec2:DescribeVpcPeeringConnections", "ec2:DescribeVpcs"
      ],
      "Resource": "*"
    },
    {
      "Effect":"Allow",
      "Action": "ec2:CreateVpcPeeringConnection",
      "Resource": [
        "arn:aws:ec2:*:*:vpc/vpc-id",
        "arn:aws:ec2:*:*:vpc-peering-connection/*"
      ]
    }
  ]
}

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Skenario peering VPC

Kuota