Esempi di policy basate sull'identità per AWS PrivateLink - Amazon Virtual Private Cloud
Controlla l'uso degli VPC endpointControlla la creazione VPC degli endpoint in base al proprietario del servizioControlla i DNS nomi privati che possono essere specificati per VPC i servizi endpoint Controlla i nomi dei servizi che possono essere specificati per i servizi VPC endpoint

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Esempi di policy basate sull'identità per AWS PrivateLink

Per impostazione predefinita, gli utenti e i ruoli non dispongono dell'autorizzazione per creare o modificare risorse AWS PrivateLink . Inoltre, non possono eseguire attività utilizzando AWS Management Console, AWS Command Line Interface (AWS CLI) o AWS API. Per concedere agli utenti il permesso di eseguire azioni sulle risorse di cui hanno bisogno, un IAM amministratore può creare IAM policy. L'amministratore può quindi aggiungere le IAM politiche ai ruoli e gli utenti possono assumerli.

Per informazioni su come creare una politica IAM basata sull'identità utilizzando questi documenti di esempio, consulta Create JSON IAM policy (console) nella Guida per l'IAMutente.

Per dettagli sulle azioni e sui tipi di risorse definiti da AWS PrivateLink, incluso il formato di ARNs per ogni tipo di risorsa, consulta Azioni, risorse e chiavi di condizione per Amazon EC2 nel Service Authorization Reference.

Controlla l'uso degli VPC endpoint

Per impostazione predefinita, gli utenti non dispongono delle autorizzazioni per utilizzare Endpoint. Puoi creare una policy basata sull'identità che concede agli utenti le autorizzazioni per creare, modificare, descrivere ed eliminare gli endpoint. Di seguito è riportato un esempio.

{
    "Version": "2012-10-17",
    "Statement":[
        {
            "Effect": "Allow",
            "Action":"ec2:*VpcEndpoint*",
            "Resource":"*"
        }
    ]
}

Per informazioni sul controllo dell'accesso ai servizi tramite gli VPC endpoint, consulta. Controlla l'accesso agli VPC endpoint utilizzando le policy degli endpoint

Controlla la creazione VPC degli endpoint in base al proprietario del servizio

Puoi utilizzare la chiave di ec2:VpceServiceOwner condizione per controllare quale VPC endpoint può essere creato in base al proprietario del servizio (amazonaws-marketplace, o all'ID dell'account). L'esempio seguente concede l'autorizzazione a creare VPC endpoint con il proprietario del servizio specificato. Per utilizzare questo esempio, sostituisci la Regione, l'ID account e il proprietario del servizio.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "ec2:CreateVpcEndpoint",
            "Resource": [
                "arn:aws:ec2:region:account-id:vpc/*",
                "arn:aws:ec2:region:account-id:security-group/*",
                "arn:aws:ec2:region:account-id:subnet/*",
                "arn:aws:ec2:region:account-id:route-table/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": "ec2:CreateVpcEndpoint",
            "Resource": [
                "arn:aws:ec2:region:account-id:vpc-endpoint/*"
            ],
            "Condition": {
                "StringEquals": {
                    "ec2:VpceServiceOwner": [
                        "amazon"
                    ]
                }
            }
        }
    ]
}

Controlla i DNS nomi privati che possono essere specificati per VPC i servizi endpoint

È possibile utilizzare la chiave di ec2:VpceServicePrivateDnsName condizione per controllare quale servizio VPC endpoint può essere modificato o creato in base al DNS nome privato associato al servizio VPC endpoint. L'esempio seguente concede l'autorizzazione a creare un servizio VPC endpoint con il nome privato specificato. DNS Per utilizzare questo esempio, sostituisci la regione, l'ID dell'account e il nome privato. DNS

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:ModifyVpcEndpointServiceConfiguration",
                "ec2:CreateVpcEndpointServiceConfiguration"
            ],
            "Resource": [
                "arn:aws:ec2:region:account-id:vpc-endpoint-service/*"
            ],
            "Condition": {
                "StringEquals": {
                    "ec2:VpceServicePrivateDnsName": [
                        "example.com"
                    ]
                }
            }
        }
    ]
}

Controlla i nomi dei servizi che possono essere specificati per i servizi VPC endpoint

È possibile utilizzare la chiave di ec2:VpceServiceName condizione per controllare quale VPC endpoint può essere creato in base al nome del servizio dell'VPCendpoint. L'esempio seguente concede l'autorizzazione a creare un VPC endpoint con il nome di servizio specificato. Per utilizzare questo esempio, sostituisci la Regione, l'ID account e il nome del servizio.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "ec2:CreateVpcEndpoint",
            "Resource": [
                "arn:aws:ec2:region:account-id:vpc/*",
                "arn:aws:ec2:region:account-id:security-group/*",
                "arn:aws:ec2:region:account-id:subnet/*",
                "arn:aws:ec2:region:account-id:route-table/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": "ec2:CreateVpcEndpoint",
            "Resource": [
                "arn:aws:ec2:region:account-id:vpc-endpoint/*"
            ],
            "Condition": {
                "StringEquals": {
                    "ec2:VpceServiceName": [
                        "com.amazonaws.region.s3"
                    ]
                }
            }
        }
    ]
}