Esempi di policy basate sull'identità per AWS PrivateLink - Amazon Virtual Private Cloud
Controlla l'utilizzo degli endpoint VPCControlla la creazione di endpoint VPC in base al proprietario del servizioControllare i nomi DNS privati che possono essere specificati per i servizi endpoint VPC Controllare i nomi dei servizi che è possibile specificare per i servizi endpoint VPC

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Esempi di policy basate sull'identità per AWS PrivateLink

Per impostazione predefinita, gli utenti e i ruoli non dispongono dell'autorizzazione per creare o modificare risorse AWS PrivateLink . Inoltre, non possono eseguire attività utilizzando AWS Management Console, AWS Command Line Interface (AWS CLI) o AWS API. Per concedere agli utenti l'autorizzazione a eseguire operazioni sulle risorse di cui hanno bisogno, un amministratore IAM può creare policy IAM. L'amministratore può quindi aggiungere le policy IAM ai ruoli e gli utenti possono assumere i ruoli.

Per informazioni su come creare una policy basata su identità IAM utilizzando questi documenti di policy JSON di esempio, consulta Creazione di policy IAM nella Guida per l'utente di IAM.

Per dettagli sulle azioni e sui tipi di risorse definiti da AWS PrivateLink, incluso il formato degli ARN per ogni tipo di risorsa, consulta Azioni, risorse e chiavi di condizione per Amazon EC2 nel Service Authorization Reference.

Controlla l'utilizzo degli endpoint VPC

Per impostazione predefinita, gli utenti non dispongono delle autorizzazioni per utilizzare Endpoint. Puoi creare una policy basata sull'identità che concede agli utenti le autorizzazioni per creare, modificare, descrivere ed eliminare gli endpoint. Di seguito è riportato un esempio.

{
    "Version": "2012-10-17",
    "Statement":[
        {
            "Effect": "Allow",
            "Action":"ec2:*VpcEndpoint*",
            "Resource":"*"
        }
    ]
}

Per ulteriori informazioni sul controllo dell'accesso ai servizi utilizzando endpoint VPC, consulta Controllo dell'accesso agli endpoint VPC tramite le policy di endpoint.

Controlla la creazione di endpoint VPC in base al proprietario del servizio

Puoi utilizzare la chiave di condizione ec2:VpceServiceOwner per controllare l'endpoint VPC che può essere creato in base al proprietario del servizio (amazon, aws-marketplace o l’ID account). Nell'esempio seguente viene concessa l'autorizzazione per creare endpoint VPC con il proprietario del servizio specificato. Per utilizzare questo esempio, sostituisci la Regione, l'ID account e il proprietario del servizio.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "ec2:CreateVpcEndpoint",
            "Resource": [
                "arn:aws:ec2:region:account-id:vpc/*",
                "arn:aws:ec2:region:account-id:security-group/*",
                "arn:aws:ec2:region:account-id:subnet/*",
                "arn:aws:ec2:region:account-id:route-table/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": "ec2:CreateVpcEndpoint",
            "Resource": [
                "arn:aws:ec2:region:account-id:vpc-endpoint/*"
            ],
            "Condition": {
                "StringEquals": {
                    "ec2:VpceServiceOwner": [
                        "amazon"
                    ]
                }
            }
        }
    ]
}

Controllare i nomi DNS privati che possono essere specificati per i servizi endpoint VPC

Puoi utilizzare la chiave di condizione ec2:VpceServicePrivateDnsName per controllare quale servizio endpoint VPC può essere modificato o creato in base al nome DNS privato associato al servizio endpoint VPC. Nell'esempio seguente viene concessa l'autorizzazione per creare un servizio endpoint VPC con il nome DNS privato specificato. Per utilizzare questo esempio, sostituisci la Regione, l'ID account e il nome DNS privato.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:ModifyVpcEndpointServiceConfiguration",
                "ec2:CreateVpcEndpointServiceConfiguration"
            ],
            "Resource": [
                "arn:aws:ec2:region:account-id:vpc-endpoint-service/*"
            ],
            "Condition": {
                "StringEquals": {
                    "ec2:VpceServicePrivateDnsName": [
                        "example.com"
                    ]
                }
            }
        }
    ]
}

Controllare i nomi dei servizi che è possibile specificare per i servizi endpoint VPC

È possibile utilizzare la chiave di condizione ec2:VpceServiceName per controllare quale endpoint VPC può essere creato in base al nome del servizio endpoint VPC. Nell'esempio seguente viene concessa l'autorizzazione per creare un endpoint VPC con il nome del servizio specificato. Per utilizzare questo esempio, sostituisci la Regione, l'ID account e il nome del servizio.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "ec2:CreateVpcEndpoint",
            "Resource": [
                "arn:aws:ec2:region:account-id:vpc/*",
                "arn:aws:ec2:region:account-id:security-group/*",
                "arn:aws:ec2:region:account-id:subnet/*",
                "arn:aws:ec2:region:account-id:route-table/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": "ec2:CreateVpcEndpoint",
            "Resource": [
                "arn:aws:ec2:region:account-id:vpc-endpoint/*"
            ],
            "Condition": {
                "StringEquals": {
                    "ec2:VpceServiceName": [
                        "com.amazonaws.region.s3"
                    ]
                }
            }
        }
    ]
}