Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Kontrol akses ke VPC titik akhir menggunakan kebijakan titik akhir
Kebijakan endpoint adalah kebijakan berbasis sumber daya yang Anda lampirkan ke titik akhir untuk mengontrol AWS prinsipal mana yang dapat menggunakan VPC titik akhir untuk mengakses. Layanan AWS
Kebijakan endpoint tidak mengesampingkan atau mengganti kebijakan berbasis identitas atau kebijakan berbasis sumber daya. Misalnya, jika Anda menggunakan titik akhir antarmuka untuk terhubung ke Amazon S3, Anda juga dapat menggunakan kebijakan bucket Amazon S3 untuk mengontrol akses ke bucket dari titik akhir tertentu atau spesifik. VPCs
Daftar Isi
Pertimbangan
-
Kebijakan endpoint adalah dokumen JSON kebijakan yang menggunakan bahasa IAM kebijakan. Itu harus mengandung elemen Utama. Ukuran kebijakan endpoint tidak boleh melebihi 20.480 karakter, termasuk spasi putih.
-
Saat membuat antarmuka atau titik akhir gateway untuk sebuah Layanan AWS, Anda dapat melampirkan kebijakan titik akhir tunggal ke titik akhir. Anda dapat memperbarui kebijakan endpoint kapan saja. Jika Anda tidak melampirkan kebijakan endpoint, kami melampirkan kebijakan endpoint default.
-
Tidak semua Layanan AWS mendukung kebijakan titik akhir. Jika Layanan AWS tidak mendukung kebijakan titik akhir, kami mengizinkan akses penuh ke titik akhir apa pun untuk layanan. Untuk informasi selengkapnya, lihat Lihat dukungan kebijakan titik akhir.
-
Saat Anda membuat VPC titik akhir untuk layanan endpoint selain Layanan AWS, kami mengizinkan akses penuh ke titik akhir.
-
Anda tidak dapat menggunakan karakter wildcard (* atau?) atau operator kondisi numerik dengan kunci konteks global yang mereferensikan pengidentifikasi yang dihasilkan sistem (misalnya, atau).
aws:PrincipalAccountaws:SourceVpc -
Bila Anda menggunakan operator kondisi string, Anda harus menggunakan setidaknya enam karakter berturut-turut sebelum atau setelah setiap karakter wildcard.
-
Saat Anda menentukan elemen ARN sumber daya atau kondisi, bagian akun ARN dapat menyertakan ID akun atau karakter wildcard, tetapi tidak keduanya.
Kebijakan titik akhir default
Kebijakan endpoint default memberikan akses penuh ke titik akhir.
{ "Statement": [ { "Effect": "Allow", "Principal": "*", "Action": "*", "Resource": "*" } ] }
Kebijakan untuk titik akhir antarmuka
Misalnya kebijakan titik akhir untuk Layanan AWS, lihatLayanan AWS yang terintegrasi dengan AWS PrivateLink. Kolom pertama dalam tabel berisi tautan ke AWS PrivateLink dokumentasi untuk masing-masing Layanan AWS. Jika Layanan AWS mendukung kebijakan titik akhir, dokumentasinya menyertakan contoh kebijakan titik akhir.
Prinsip untuk titik akhir gateway
Dengan titik akhir gateway, Principal elemen harus diatur ke*. Untuk menentukan prinsipal, gunakan tombol aws:PrincipalArn kondisi.
"Condition": { "StringEquals": { "aws:PrincipalArn": "arn:aws:iam::123456789012:user/endpointuser" } }
Jika Anda menentukan prinsipal dalam format berikut, akses diberikan kepada Pengguna root akun AWS satu-satunya, tidak semua pengguna dan peran untuk akun.
"AWS": "account_id"
Misalnya kebijakan titik akhir untuk titik akhir gateway, lihat berikut ini:
Memperbarui kebijakan VPC titik akhir
Gunakan prosedur berikut untuk memperbarui kebijakan titik akhir untuk. Layanan AWS Setelah memperbarui kebijakan titik akhir, perlu beberapa menit agar perubahan diterapkan.
Untuk memperbarui kebijakan titik akhir menggunakan konsol
Buka VPC konsol Amazon di https://console.aws.amazon.com/vpc/
. -
Di panel navigasi, pilih Titik akhir.
-
Pilih VPC titik akhir.
-
Pilih Tindakan, Kelola kebijakan.
-
Pilih Akses Penuh untuk mengizinkan akses penuh ke layanan, atau pilih Kustom dan lampirkan kebijakan khusus.
-
Pilih Simpan.
Untuk memperbarui kebijakan titik akhir menggunakan baris perintah
-
modify-vpc-endpoint (AWS CLI)
-
Edit-EC2VpcEndpoint(Alat untuk Windows PowerShell)
