Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Controlla l'accesso agli VPC endpoint utilizzando le policy degli endpoint
Una policy sugli endpoint è una policy basata sulle risorse che si allega a un VPC endpoint per controllare quali AWS responsabili possono utilizzare l'endpoint per accedere a un. Servizio AWS
Una policy di endpoint non esclude né sostituisce le policy basate sull'identità o sulle risorse. Ad esempio, se utilizzi un endpoint di interfaccia per connetterti ad Amazon S3, puoi anche utilizzare le policy dei bucket di Amazon S3 per controllare l'accesso ai bucket da endpoint specifici o specifici. VPCs
Indice
Considerazioni
-
Una policy sugli endpoint è un documento di policy che utilizza il linguaggio JSON delle policy. IAM Deve contenere un elemento Principal. Le dimensioni di una policy degli endpoint non possono superare i 20.480 caratteri, inclusi gli spazi bianchi.
-
Quando si crea un'interfaccia o un endpoint gateway per un endpoint Servizio AWS, è possibile allegare una singola policy di endpoint all'endpoint. Puoi aggiornare la policy degli endpoint in qualsiasi momento. Se non si allega una policy degli endpoint, alleghiamo la policy degli endpoint predefinita.
-
Non tutti Servizi AWS supportano le policy relative agli endpoint. Se un dispositivo Servizio AWS non supporta le policy relative agli endpoint, consentiamo l'accesso completo a qualsiasi endpoint per il servizio. Per ulteriori informazioni, consulta Visualizza il supporto della politica dell'endpoint.
-
Quando crei un VPC endpoint per un servizio endpoint diverso da un Servizio AWS, consentiamo l'accesso completo all'endpoint.
-
Non puoi usare caratteri jolly (* o?) o operatori di condizioni numeriche con chiavi di contesto globali che fanno riferimento a identificatori generati dal sistema (ad esempio o).
aws:PrincipalAccountaws:SourceVpc -
Quando si utilizza un operatore di condizione di stringa, è necessario utilizzare almeno sei caratteri consecutivi prima o dopo ogni carattere jolly.
-
Quando specificate un elemento ARN in una risorsa o in una condizione, la parte relativa all'account ARN può includere un ID account o un carattere jolly, ma non entrambi.
Policy degli endpoint predefinita
La policy degli endpoint predefinita consente l'accesso completo all'endpoint.
{ "Statement": [ { "Effect": "Allow", "Principal": "*", "Action": "*", "Resource": "*" } ] }
Policy degli endpoint di interfaccia
Ad esempio, le politiche degli endpoint per Servizi AWS, vedi. Servizi AWS che si integrano con AWS PrivateLink La prima colonna della tabella contiene i collegamenti alla AWS PrivateLink documentazione relativa a ciascuna di esse Servizio AWS. Se un dispositivo Servizio AWS supporta le policy relative agli endpoint, la relativa documentazione include esempi di policy per gli endpoint.
Principali per endpoint gateway
Con gli endpoint gateway, l'Principalelemento deve essere impostato su. * Per specificare un principale, utilizzate la chiave aws:PrincipalArn condition.
"Condition": { "StringEquals": { "aws:PrincipalArn": "arn:aws:iam::123456789012:user/endpointuser" } }
Se si specifica il principale nel formato seguente, l'accesso viene concesso Utente root dell'account AWS solo agli utenti e ai ruoli dell'account, non a tutti.
"AWS": "account_id"
Per esempi di policy degli endpoint gateway, consulta i seguenti argomenti:
Aggiornare una policy per VPC gli endpoint
Utilizza la procedura seguente per aggiornare una policy degli endpoint per un Servizio AWS. Dopo avere aggiornato l'endpoint, possono essere necessari alcuni minuti prima che le modifiche diventino effettive.
Per aggiornare la policy degli endpoint usando la console
Apri la VPC console Amazon all'indirizzo https://console.aws.amazon.com/vpc/
. -
Nel pannello di navigazione, seleziona Endpoint.
-
Seleziona l'VPCendpoint.
-
Scegli Actions (Operazioni), Manage policy (Gestisci policy).
-
Scegli Full Access (Accesso completo) per consentire l'accesso completo al servizio oppure scegli Custom (Personalizzato) e specifica una policy personalizzata.
-
Seleziona Salva.
Per aggiornare la policy degli endpoint utilizzando la riga di comando
-
modify-vpc-endpoint (AWS CLI)
-
Edit-EC2VpcEndpoint(Strumenti per Windows PowerShell)
