Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Identity and Access Management per il peering VPC
Per impostazione predefinita, gli utenti non possono creare o modificare connessioni peering VPC. Per concedere l'accesso alle risorse di peering del VPC, collega una policy IAM a un'identità IAM, come un ruolo.
Esempi
Per un elenco delle operazioni di Amazon VPC e delle chiavi per le risorse e le condizioni supportate per ciascuna operazione, consulta Azioni, risorse e chiavi di condizione per Amazon EC2 in Service Authorization Reference.
Esempio: Creazione di una connessione peering VPC
La policy seguente concede agli utenti l'autorizzazione per creare richieste di connessione peering VPC utilizzando i VPC che sono contrassegnati con Purpose=Peering. La prima istruzione applica una chiave di condizione (ec2:ResourceTag) alla risorsa VPC. Nota che la risorsa VPC per l'operazione CreateVpcPeeringConnection è sempre il VPC richiedente.
La seconda istruzione concede agli utenti l'autorizzazione per creare le risorse della connessione peering VPC e pertanto utilizza il carattere jolly * al posto di un ID risorsa specifico.
{ "Version": "2012-10-17", "Statement":[ { "Effect":"Allow", "Action": "ec2:CreateVpcPeeringConnection", "Resource": "arn:aws:ec2:region:account-id:vpc/*", "Condition": { "StringEquals": { "ec2:ResourceTag/Purpose": "Peering" } } }, { "Effect": "Allow", "Action": "ec2:CreateVpcPeeringConnection", "Resource": "arn:aws:ec2:region:account-id:vpc-peering-connection/*" } ] }
La seguente policy concede agli utenti nell'account AWS specificato l'autorizzazione per creare connessioni peering VPC utilizzando qualsiasi VPC nella regione specificata, ma solo se il VPC che accetterà la connessione peering è un VPC specifico in un account specifico.
{ "Version": "2012-10-17", "Statement": [ { "Effect":"Allow", "Action": "ec2:CreateVpcPeeringConnection", "Resource": "arn:aws:ec2:region:account-id-1:vpc/*" }, { "Effect": "Allow", "Action": "ec2:CreateVpcPeeringConnection", "Resource": "arn:aws:ec2:region:account-id-1:vpc-peering-connection/*", "Condition": { "ArnEquals": { "ec2:AccepterVpc": "arn:aws:ec2:region:account-id-2:vpc/vpc-id" } } } ] }
Esempio: Accettazione di una connessione peering VPC
La policy seguente concede agli utenti l'autorizzazione per accettare richieste di connessione peering VPC solo da un account AWS specifico. Questo impedisce agli utenti di accettare richieste di connessione peering VPC da account sconosciuti. L'istruzione utilizza la chiave di condizione ec2:RequesterVpc per imporre ciò.
{ "Version": "2012-10-17", "Statement":[ { "Effect":"Allow", "Action": "ec2:AcceptVpcPeeringConnection", "Resource": "arn:aws:ec2:region:account-id-1:vpc-peering-connection/*", "Condition": { "ArnEquals": { "ec2:RequesterVpc": "arn:aws:ec2:region:account-id-2:vpc/*" } } } ] }
La seguente policy concede agli utenti l'autorizzazione per accettare richieste di peering VPC se il VPC contiene il tag Purpose=Peering.
{ "Version": "2012-10-17", "Statement":[ { "Effect": "Allow", "Action": "ec2:AcceptVpcPeeringConnection", "Resource": "arn:aws:ec2:region:account-id:vpc/*", "Condition": { "StringEquals": { "ec2:ResourceTag/Purpose": "Peering" } } } ] }
Esempio: Eliminazione di una connessione peering VPC
La seguente policy concede agli utenti nell'account specificato l'autorizzazione per eliminare qualsiasi connessione peering VPC, tranne quelle che utilizzano il VPC specificato, che si trova nello stesso account. La policy specifica entrambe le chiavi di condizioni ec2:AccepterVpc ed ec2:RequesterVpc, poiché il VPC potrebbe essere stato il VPC richiedente o il VPC in peering nella richiesta di connessione peering VPC originale.
{ "Version": "2012-10-17", "Statement": [ { "Effect":"Allow", "Action": "ec2:DeleteVpcPeeringConnection", "Resource": "arn:aws:ec2:region:account-id:vpc-peering-connection/*", "Condition": { "ArnNotEquals": { "ec2:AccepterVpc": "arn:aws:ec2:region:account-id:vpc/vpc-id", "ec2:RequesterVpc": "arn:aws:ec2:region:account-id:vpc/vpc-id" } } } ] }
Esempio: operazioni all'interno di un account specifico
La seguente policy concede agli utenti l'autorizzazione per utilizzare le connessioni peering VPC all'interno di un account specifico. Gli utenti possono visualizzare, creare, accettare, rifiutare Ed eliminare connessioni peering VPC, purché si trovino tutte all'interno dello stesso account AWS.
La prima istruzione concede agli utenti l'autorizzazione per visualizzare tutte le connessioni peering VPC. L'elemento Resource richiede in questo caso un carattere jolly *, poiché questa operazione API (DescribeVpcPeeringConnections) attualmente non supporta autorizzazioni a livello di risorsa.
La seconda istruzione concede agli utenti l'autorizzazione per creare connessioni peering VPC e consente l'accesso a tutti i VPC nell'account specificato per consentire questa operazione.
La terza istruzione utilizza un carattere jolly * come parte dell'elemento Action per consentire tutte le operazioni della connessione peering VPC. Le chiavi di condizione garantiscono che le azioni possono essere Eseguite solo su connessioni peering VPC con VPC che sono parte dell'account. Ad esempio, un utente non può eliminare una connessione peering VPC se il VPC accettante o richiedente si trova in un account differente. Un utente non può creare una connessione peering VPC con un VPC in un account differente.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "ec2:DescribeVpcPeeringConnections", "Resource": "*" }, { "Effect": "Allow", "Action": ["ec2:CreateVpcPeeringConnection","ec2:AcceptVpcPeeringConnection"], "Resource": "arn:aws:ec2:*:account-id:vpc/*" }, { "Effect": "Allow", "Action": "ec2:*VpcPeeringConnection", "Resource": "arn:aws:ec2:*:account-id:vpc-peering-connection/*", "Condition": { "ArnEquals": { "ec2:AccepterVpc": "arn:aws:ec2:*:account-id:vpc/*", "ec2:RequesterVpc": "arn:aws:ec2:*:account-id:vpc/*" } } } ] }
Esempio: gestione delle connessioni peering VPC tramite la console
Per visualizzare connessioni peering VPC nella console Amazon VPC, gli utenti devono disporre dell'autorizzazione per utilizzare l'operazione ec2:DescribeVpcPeeringConnections. Per utilizzare la finestra di dialogo Create Peering Connection (Crea connessione peering), gli utenti devono disporre dell'autorizzazione per utilizzare l'operazione ec2:DescribeVpcs. Ciò consente loro di visualizzare e selezionare un VPC. Puoi applicare autorizzazioni a livello di risorsa a tutte le operazioni ec2:*PeeringConnection, tranne ec2:DescribeVpcPeeringConnections.
La seguente policy concede agli utenti l'autorizzazione per visualizzare connessioni peering VPC e utilizzare la finestra di dialogo Create VPC Peering Connection (Crea connessione peering VPC) per creare una connessione peering VPC utilizzando solo un VPC richiedente specifico. Se gli utenti tentano di creare una connessione peering VPC con un VPC richiedente diverso, la richiesta non va a buon fine.
{ "Version": "2012-10-17", "Statement": [ { "Effect":"Allow", "Action": [ "ec2:DescribeVpcPeeringConnections", "ec2:DescribeVpcs" ], "Resource": "*" }, { "Effect":"Allow", "Action": "ec2:CreateVpcPeeringConnection", "Resource": [ "arn:aws:ec2:*:*:vpc/vpc-id", "arn:aws:ec2:*:*:vpc-peering-connection/*" ] } ] }
