Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Identity and Access Management per il peering VPC
Per impostazione predefinita, gli utenti non possono creare o modificare connessioni peering VPC. Per concedere l'accesso alle risorse di peering del VPC, collega una policy IAM a un'identità IAM, come un ruolo.
Esempi
Per un elenco delle azioni Amazon VPC e le risorse e le chiavi delle condizioni supportate per ciascuna azione, consulta Azioni, risorse e chiavi di condizione per Amazon EC2 nel Service Authorization Reference.
Esempio: Creazione di una connessione peering VPC
La seguente politica concede agli utenti l'autorizzazione a creare richieste di connessione peering VPC VPCs utilizzando quelle contrassegnate con. Purpose=Peering La prima istruzione applica una chiave di condizione (ec2:ResourceTag) alla risorsa VPC. Nota che la risorsa VPC per l'operazione CreateVpcPeeringConnection è sempre il VPC richiedente.
La seconda istruzione concede agli utenti l'autorizzazione per creare le risorse della connessione peering VPC e pertanto utilizza il carattere jolly * al posto di un ID risorsa specifico.
{ "Version": "2012-10-17", "Statement":[ { "Effect":"Allow", "Action": "ec2:CreateVpcPeeringConnection", "Resource": "arn:aws:ec2:region:account-id:vpc/*", "Condition": { "StringEquals": { "ec2:ResourceTag/Purpose": "Peering" } } }, { "Effect": "Allow", "Action": "ec2:CreateVpcPeeringConnection", "Resource": "arn:aws:ec2:region:account-id:vpc-peering-connection/*" } ] }
La seguente politica concede agli utenti dell' AWS account specificato l'autorizzazione a creare connessioni peering VPC utilizzando qualsiasi VPC nella regione specificata, ma solo se il VPC che accetta la connessione peering è un VPC specifico in un account specifico.
{ "Version": "2012-10-17", "Statement": [ { "Effect":"Allow", "Action": "ec2:CreateVpcPeeringConnection", "Resource": "arn:aws:ec2:region:account-id-1:vpc/*" }, { "Effect": "Allow", "Action": "ec2:CreateVpcPeeringConnection", "Resource": "arn:aws:ec2:region:account-id-1:vpc-peering-connection/*", "Condition": { "ArnEquals": { "ec2:AccepterVpc": "arn:aws:ec2:region:account-id-2:vpc/vpc-id" } } } ] }
Esempio: Accettazione di una connessione peering VPC
La seguente politica concede agli utenti l'autorizzazione ad accettare richieste di connessione peering VPC da un account specifico. AWS Questo impedisce agli utenti di accettare richieste di connessione peering VPC da account sconosciuti. L'istruzione utilizza la chiave di condizione ec2:RequesterVpc per imporre ciò.
{ "Version": "2012-10-17", "Statement":[ { "Effect":"Allow", "Action": "ec2:AcceptVpcPeeringConnection", "Resource": "arn:aws:ec2:region:account-id-1:vpc-peering-connection/*", "Condition": { "ArnEquals": { "ec2:RequesterVpc": "arn:aws:ec2:region:account-id-2:vpc/*" } } } ] }
La seguente policy concede agli utenti l'autorizzazione per accettare richieste di peering VPC se il VPC contiene il tag Purpose=Peering.
{ "Version": "2012-10-17", "Statement":[ { "Effect": "Allow", "Action": "ec2:AcceptVpcPeeringConnection", "Resource": "arn:aws:ec2:region:account-id:vpc/*", "Condition": { "StringEquals": { "ec2:ResourceTag/Purpose": "Peering" } } } ] }
Esempio: Eliminazione di una connessione peering VPC
La seguente policy concede agli utenti nell'account specificato l'autorizzazione per eliminare qualsiasi connessione peering VPC, tranne quelle che utilizzano il VPC specificato, che si trova nello stesso account. La policy specifica entrambe le chiavi di condizioni ec2:AccepterVpc ed ec2:RequesterVpc, poiché il VPC potrebbe essere stato il VPC richiedente o il VPC in peering nella richiesta di connessione peering VPC originale.
{ "Version": "2012-10-17", "Statement": [ { "Effect":"Allow", "Action": "ec2:DeleteVpcPeeringConnection", "Resource": "arn:aws:ec2:region:account-id:vpc-peering-connection/*", "Condition": { "ArnNotEquals": { "ec2:AccepterVpc": "arn:aws:ec2:region:account-id:vpc/vpc-id", "ec2:RequesterVpc": "arn:aws:ec2:region:account-id:vpc/vpc-id" } } } ] }
Esempio: operazioni all'interno di un account specifico
La seguente policy concede agli utenti l'autorizzazione per utilizzare le connessioni peering VPC all'interno di un account specifico. Gli utenti possono visualizzare, creare, accettare, rifiutare ed eliminare le connessioni peering VPC, a condizione che siano tutte all'interno dello stesso account. AWS
La prima istruzione concede agli utenti l'autorizzazione per visualizzare tutte le connessioni peering VPC. L'elemento Resource richiede in questo caso un carattere jolly *, poiché questa operazione API (DescribeVpcPeeringConnections) attualmente non supporta autorizzazioni a livello di risorsa.
La seconda istruzione concede agli utenti il permesso di creare connessioni peering VPC e l'accesso a VPCs tutti gli utenti dell'account specificato per farlo.
La terza istruzione utilizza un carattere jolly * come parte dell'elemento Action per consentire tutte le operazioni della connessione peering VPC. Le chiavi di condizione assicurano che le azioni possano essere eseguite solo su connessioni peering VPC VPCs che fanno parte dell'account. Ad esempio, un utente non può eliminare una connessione peering VPC se il VPC accettante o richiedente si trova in un account differente. Un utente non può creare una connessione peering VPC con un VPC in un account differente.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "ec2:DescribeVpcPeeringConnections", "Resource": "*" }, { "Effect": "Allow", "Action": ["ec2:CreateVpcPeeringConnection","ec2:AcceptVpcPeeringConnection"], "Resource": "arn:aws:ec2:*:account-id:vpc/*" }, { "Effect": "Allow", "Action": "ec2:*VpcPeeringConnection", "Resource": "arn:aws:ec2:*:account-id:vpc-peering-connection/*", "Condition": { "ArnEquals": { "ec2:AccepterVpc": "arn:aws:ec2:*:account-id:vpc/*", "ec2:RequesterVpc": "arn:aws:ec2:*:account-id:vpc/*" } } } ] }
Esempio: gestione delle connessioni peering VPC tramite la console
Per visualizzare connessioni peering VPC nella console Amazon VPC, gli utenti devono disporre dell'autorizzazione per utilizzare l'operazione ec2:DescribeVpcPeeringConnections. Per utilizzare la finestra di dialogo Create Peering Connection (Crea connessione peering), gli utenti devono disporre dell'autorizzazione per utilizzare l'operazione ec2:DescribeVpcs. Ciò consente loro di visualizzare e selezionare un VPC. Puoi applicare autorizzazioni a livello di risorsa a tutte le operazioni ec2:*PeeringConnection, tranne ec2:DescribeVpcPeeringConnections.
La seguente policy concede agli utenti l'autorizzazione per visualizzare connessioni peering VPC e utilizzare la finestra di dialogo Create VPC Peering Connection (Crea connessione peering VPC) per creare una connessione peering VPC utilizzando solo un VPC richiedente specifico. Se gli utenti tentano di creare una connessione peering VPC con un VPC richiedente diverso, la richiesta non va a buon fine.
{ "Version": "2012-10-17", "Statement": [ { "Effect":"Allow", "Action": [ "ec2:DescribeVpcPeeringConnections", "ec2:DescribeVpcs" ], "Resource": "*" }, { "Effect":"Allow", "Action": "ec2:CreateVpcPeeringConnection", "Resource": [ "arn:aws:ec2:*:*:vpc/vpc-id", "arn:aws:ec2:*:*:vpc-peering-connection/*" ] } ] }
