Buat koneksi VPC peering Terima koneksi VPC peering Hapus koneksi VPC peering Bekerja dalam akun tertentu Kelola koneksi VPC peering di konsol

Manajemen identitas dan akses untuk VPC mengintip

Secara default, pengguna tidak dapat membuat atau memodifikasi koneksi VPC peering. Untuk memberikan akses ke sumber daya VPC peering, lampirkan IAM kebijakan ke IAM identitas, seperti peran.

Untuk daftar VPC tindakan Amazon, serta kunci sumber daya dan kondisi yang didukung untuk setiap tindakan, lihat Kunci tindakan, sumber daya, dan kondisi untuk Amazon EC2 di Referensi Otorisasi Layanan.

Contoh: Buat koneksi VPC peering

Kebijakan berikut memberi pengguna izin untuk membuat permintaan koneksi VPC peering menggunakan VPCs yang diberi tag. Purpose=Peering Pernyataan pertama menerapkan kunci kondisi (ec2:ResourceTag) ke VPC sumber daya. Perhatikan bahwa VPC sumber daya untuk CreateVpcPeeringConnection tindakan selalu pemohonVPC.

Pernyataan kedua memberikan izin kepada pengguna untuk membuat sumber daya koneksi VPC peering, dan karenanya menggunakan wildcard * sebagai pengganti ID sumber daya tertentu.


{
  "Version": "2012-10-17",
  "Statement":[
    {
      "Effect":"Allow",
      "Action": "ec2:CreateVpcPeeringConnection",
      "Resource": "arn:aws:ec2:region:account-id:vpc/*",
      "Condition": {
        "StringEquals": {
          "ec2:ResourceTag/Purpose": "Peering"
        }
      }
    },
    {
      "Effect": "Allow",
      "Action": "ec2:CreateVpcPeeringConnection",
      "Resource": "arn:aws:ec2:region:account-id:vpc-peering-connection/*"
    }
  ]
}

Kebijakan berikut memberi pengguna izin AWS akun tertentu untuk membuat koneksi VPC peering menggunakan salah satu VPC di Wilayah tertentu, tetapi hanya jika VPC yang menerima koneksi peering adalah spesifik VPC di akun tertentu.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect":"Allow",
      "Action": "ec2:CreateVpcPeeringConnection",
      "Resource": "arn:aws:ec2:region:account-id-1:vpc/*"
    },
    {
      "Effect": "Allow",
      "Action": "ec2:CreateVpcPeeringConnection",
      "Resource": "arn:aws:ec2:region:account-id-1:vpc-peering-connection/*",
      "Condition": {
        "ArnEquals": {
          "ec2:AccepterVpc": "arn:aws:ec2:region:account-id-2:vpc/vpc-id"
        }
      }
    }
  ]
}

Contoh: Terima koneksi VPC peering

Kebijakan berikut memberikan izin kepada pengguna untuk menerima permintaan koneksi VPC peering dari akun tertentu AWS . Ini membantu mencegah pengguna menerima permintaan koneksi VPC peering dari akun yang tidak dikenal. Pernyataan menggunakan kunci ec2:RequesterVpc kondisi untuk menegakkan ini.


{
  "Version": "2012-10-17",
  "Statement":[
    {
      "Effect":"Allow",
      "Action": "ec2:AcceptVpcPeeringConnection",
      "Resource": "arn:aws:ec2:region:account-id-1:vpc-peering-connection/*",
      "Condition": {
        "ArnEquals": {
          "ec2:RequesterVpc": "arn:aws:ec2:region:account-id-2:vpc/*"
        }
      }
    }
  ]
}

Kebijakan berikut memberikan izin kepada pengguna untuk menerima permintaan VPC peering jika tag tersebut VPC memiliki tag. Purpose=Peering


{
  "Version": "2012-10-17",
  "Statement":[
    {
      "Effect": "Allow",
      "Action": "ec2:AcceptVpcPeeringConnection",
      "Resource": "arn:aws:ec2:region:account-id:vpc/*",
      "Condition": {
        "StringEquals": {
          "ec2:ResourceTag/Purpose": "Peering"
        }
      }
    }
  ]
}

Contoh: Hapus koneksi VPC peering

Kebijakan berikut memberi pengguna izin akun yang ditentukan untuk menghapus koneksi VPC peering apa pun, kecuali yang menggunakan yang ditentukanVPC, yang ada di akun yang sama. Kebijakan menentukan kunci ec2:AccepterVpc dan ec2:RequesterVpc kondisi, karena VPC mungkin pemohon VPC atau rekan VPC dalam permintaan koneksi peering asliVPC.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect":"Allow",
      "Action": "ec2:DeleteVpcPeeringConnection",
      "Resource": "arn:aws:ec2:region:account-id:vpc-peering-connection/*",
      "Condition": {
        "ArnNotEquals": {
          "ec2:AccepterVpc": "arn:aws:ec2:region:account-id:vpc/vpc-id",
          "ec2:RequesterVpc": "arn:aws:ec2:region:account-id:vpc/vpc-id"
        }
      }
    }
  ]
}

Contoh: Bekerja dalam akun tertentu

Kebijakan berikut memberi pengguna izin untuk bekerja dengan koneksi VPC peering dalam akun tertentu. Pengguna dapat melihat, membuat, menerima, menolak, dan menghapus koneksi VPC peering, asalkan semuanya berada dalam akun yang sama AWS .

Pernyataan pertama memberi pengguna izin untuk melihat semua koneksi VPC peering. ResourceElemen memerlukan wildcard * dalam kasus ini, karena API action (DescribeVpcPeeringConnections) ini saat ini tidak mendukung izin tingkat sumber daya.

Pernyataan kedua memberikan izin kepada pengguna untuk membuat koneksi VPC peering, dan akses ke semua VPCs akun yang ditentukan untuk melakukannya.

Pernyataan ketiga menggunakan wildcard * sebagai bagian dari Action elemen untuk memberikan izin untuk semua tindakan koneksi VPC peering. Kunci kondisi memastikan bahwa tindakan hanya dapat dilakukan pada koneksi VPC peering dengan VPCs yang merupakan bagian dari akun. Misalnya, pengguna tidak dapat menghapus koneksi VPC peering jika penerima atau pemohon VPC berada di akun yang berbeda. Pengguna tidak dapat membuat koneksi VPC peering dengan akun VPC yang berbeda.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "ec2:DescribeVpcPeeringConnections",
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": ["ec2:CreateVpcPeeringConnection","ec2:AcceptVpcPeeringConnection"],
      "Resource": "arn:aws:ec2:*:account-id:vpc/*"
    },
    {
      "Effect": "Allow",
      "Action": "ec2:*VpcPeeringConnection",
      "Resource": "arn:aws:ec2:*:account-id:vpc-peering-connection/*",
      "Condition": {
        "ArnEquals": {
          "ec2:AccepterVpc": "arn:aws:ec2:*:account-id:vpc/*",
          "ec2:RequesterVpc": "arn:aws:ec2:*:account-id:vpc/*"
        }
      }
    }
  ]
}

Contoh: Mengelola koneksi VPC peering menggunakan konsol

Untuk melihat koneksi VPC peering di VPC konsol Amazon, pengguna harus memiliki izin untuk menggunakan ec2:DescribeVpcPeeringConnections tindakan tersebut. Untuk menggunakan laman Buat Koneksi Peering, pengguna harus memiliki izin untuk menggunakan tindakan ec2:DescribeVpcs. Ini memberi mereka izin untuk melihat dan memilihVPC. Anda dapat menerapkan izin di tingkat sumber daya untuk semua tindakan ec2:*PeeringConnection, kecuali ec2:DescribeVpcPeeringConnections.

Kebijakan berikut memberi pengguna izin untuk melihat koneksi VPC peering, dan menggunakan kotak dialog Create VPC Peering Connection untuk membuat koneksi VPC peering hanya menggunakan pemohon tertentu. VPC Jika pengguna mencoba membuat koneksi VPC peering dengan pemohon yang berbedaVPC, permintaan gagal.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect":"Allow",
      "Action": [
        "ec2:DescribeVpcPeeringConnections", "ec2:DescribeVpcs"
      ],
      "Resource": "*"
    },
    {
      "Effect":"Allow",
      "Action": "ec2:CreateVpcPeeringConnection",
      "Resource": [
        "arn:aws:ec2:*:*:vpc/vpc-id",
        "arn:aws:ec2:*:*:vpc-peering-connection/*"
      ]
    }
  ]
}

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

VPCskenario mengintip

Kuota