Controllo dell'accesso agli endpoint VPC tramite le policy di endpoint - Amazon Virtual Private Cloud
ConsiderazioniPolicy degli endpoint predefinitaPolicy degli endpoint di interfacciaPrincipali per endpoint gatewayAggiornamento di una policy di endpoint VPC

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Controllo dell'accesso agli endpoint VPC tramite le policy di endpoint

Una policy per gli endpoint è una policy basata sulle risorse che si collega a un endpoint VPC per controllare quali AWS responsabili possono utilizzare l'endpoint per accedere a un. Servizio AWS

Una policy di endpoint non esclude né sostituisce le policy basate sull'identità o sulle risorse. Ad esempio, se utilizzi un endpoint di interfaccia per connetterti ad Amazon S3, puoi anche utilizzare le policy dei bucket di Amazon S3 per controllare l'accesso ai bucket da endpoint specifici o specifici. VPCs

Considerazioni

  • Una policy degli endpoint è un documento di policy JSON che utilizza il linguaggio della policy IAM. Deve contenere un elemento Principal. Le dimensioni di una policy degli endpoint non possono superare i 20.480 caratteri, inclusi gli spazi bianchi.

  • Quando crei un'interfaccia o un endpoint gateway per un endpoint Servizio AWS, puoi allegare una singola policy endpoint all'endpoint. Puoi aggiornare la policy degli endpoint in qualsiasi momento. Se non si allega una policy degli endpoint, alleghiamo la policy degli endpoint predefinita.

  • Non tutti Servizi AWS supportano le policy relative agli endpoint. Se un dispositivo Servizio AWS non supporta le policy relative agli endpoint, consentiamo l'accesso completo a qualsiasi endpoint per il servizio. Per ulteriori informazioni, consulta Visualizza il supporto della politica dell'endpoint.

  • Quando crei un endpoint VPC per un servizio endpoint diverso da un  Servizio AWS, consentiamo l'accesso completo all'endpoint.

  • Non puoi usare caratteri jolly (* o?) o operatori di condizioni numeriche con chiavi di contesto globali che fanno riferimento a identificatori generati dal sistema (ad esempio o). aws:PrincipalAccount aws:SourceVpc

  • Quando si utilizza un operatore di condizione di stringa, è necessario utilizzare almeno sei caratteri consecutivi prima o dopo ogni carattere jolly.

  • Quando si specifica un ARN in un elemento risorsa o condizione, la parte relativa all'account dell'ARN può includere un ID account o un carattere jolly, ma non entrambi.

Policy degli endpoint predefinita

La policy degli endpoint predefinita consente l'accesso completo all'endpoint.

{
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": "*",
            "Action": "*",
            "Resource": "*"
        }
    ]
}

Policy degli endpoint di interfaccia

Ad esempio, le politiche degli endpoint per, vedi. Servizi AWSServizi AWS che si integrano con AWS PrivateLink La prima colonna della tabella contiene i collegamenti alla AWS PrivateLink documentazione relativa a ciascuna di esse Servizio AWS. Se un dispositivo Servizio AWS supporta le policy relative agli endpoint, la relativa documentazione include esempi di policy per gli endpoint.

Principali per endpoint gateway

Con gli endpoint gateway, l'Principalelemento deve essere impostato su. * Per specificare un principale, utilizzate la chiave aws:PrincipalArn condition.

"Condition": {
    "StringEquals": {
        "aws:PrincipalArn": "arn:aws:iam::123456789012:user/endpointuser"
    }
}

Se si specifica il principale nel formato seguente, l'accesso viene concesso Utente root dell'account AWS solo agli utenti e ai ruoli dell'account, non a tutti.

"AWS": "account_id"

Per esempi di policy degli endpoint gateway, consulta i seguenti argomenti:

Aggiornamento di una policy di endpoint VPC

Utilizza la procedura seguente per aggiornare una policy degli endpoint per un  Servizio AWS. Dopo avere aggiornato l'endpoint, possono essere necessari alcuni minuti prima che le modifiche diventino effettive.

Per aggiornare la policy degli endpoint usando la console

  1. Apri la console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc/.

  2. Nel pannello di navigazione, seleziona Endpoint.

  3. Seleziona l'endpoint VPC.

  4. Scegli Actions (Operazioni), Manage policy (Gestisci policy).

  5. Scegli Full Access (Accesso completo) per consentire l'accesso completo al servizio oppure scegli Custom (Personalizzato) e specifica una policy personalizzata.

  6. Seleziona Salva.

Per aggiornare la policy degli endpoint utilizzando la riga di comando