Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Puoi creare una policy sugli endpoint Amazon VPC per la gestione degli account in cui specifichi quanto segue:
-
Il principale che può eseguire azioni.
-
Le azioni che i responsabili possono eseguire.
-
Le risorse in cui è possibile eseguire le operazioni.
L'esempio seguente mostra una policy per gli endpoint di Amazon VPC che consente a un utente IAM di nome Alice nell'account 123456789012 di recuperare e modificare le informazioni di contatto alternative per qualsiasi account Account AWS, ma nega a tutti gli utenti IAM l'autorizzazione a eliminare qualsiasi informazione di contatto alternativa su qualsiasi account.
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"account:GetAlternateContact",
"account:PutAlternateContact"
],
"Resource": "arn:aws::iam:*:account,
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws::iam:123456789012:user/Alice"
}
},
{
"Action": "account:DeleteAlternateContact",
"Resource": "*",
"Effect": "Deny",
"Principal": "arn:aws::iam:*:root"
}
]
}Se desideri concedere l'accesso agli account che fanno parte di un' AWS organizzazione a un responsabile che si trova in uno degli account membri dell'organizzazione, l'elemento deve utilizzare il seguente formato: Resource
arn:aws:account::{ManagementAccountId}:account/o-{OrganizationId}/{AccountId}
Per ulteriori informazioni sulla creazione di policy per gli endpoint, consulta Controllare l'accesso ai servizi con gli endpoint VPC nella Guida.AWS PrivateLink
