Exemplos de políticas baseadas em identidade para o AWS PrivateLink - Amazon Virtual Private Cloud
Controlar o uso dos VPC endpointsControlar a criação de VPC endpoints com base no proprietário do serviçoControlar os nomes de DNS privados que podem ser especificados para serviços do VPC endpoint Controlar os nomes de serviço que podem ser especificados para serviços do VPC endpoint

Exemplos de políticas baseadas em identidade para o AWS PrivateLink

Por padrão, usuários e funções não têm permissão para criar ou modificar recursos do AWS PrivateLink. Eles também não podem executar tarefas usando o AWS Management Console, a AWS Command Line Interface (AWS CLI) ou a API AWS. Para conceder aos usuários permissão para executar ações nos recursos de que precisam, um administrador do IAM pode criar políticas do IAM. O administrador pode então adicionar as políticas do IAM aos perfis e os usuários podem presumir os perfis.

Para saber como criar uma política baseada em identidade do IAM usando esses exemplos de documento de política JSON, consulte Criar políticas do IAM (no console) no Guia do usuário do IAM.

Para obter detalhes sobre ações e tipos de recurso definidos pelo AWS PrivateLink, por exemplo, o formato dos ARNs para cada um dos tipos de recurso, consulte Ações, recursos e chaves de condição do Amazon Cognito Identity na Referência de autorização do serviço.

Controlar o uso dos VPC endpoints

Por padrão, os usuários do não têm permissão para trabalhar com endpoints. Você pode criar uma política baseada em identidade que conceda aos usuários permissão para criar, modificar, descrever e excluir endpoints. Veja um exemplo a seguir.

{
    "Version": "2012-10-17",
    "Statement":[
        {
            "Effect": "Allow",
            "Action":"ec2:*VpcEndpoint*",
            "Resource":"*"
        }
    ]
}

Para obter informações sobre como controlar o acesso a serviços que usam VPC endpoints, consulte Controlar o acesso a endpoints da usando políticas de endpoint.

Controlar a criação de VPC endpoints com base no proprietário do serviço

É possível usar a chave de condição ec2:VpceServiceOwner para controlar qual endpoint da VPC pode ser criado com base em quem é o proprietário do serviço (amazon, aws-marketplace ou o ID da conta). O seguinte exemplo concede permissão para criar endpoints da VPC com o proprietário do serviço especificado. Para usar o exemplo, substitua a região, o ID da conta e o proprietário do serviço.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "ec2:CreateVpcEndpoint",
            "Resource": [
                "arn:aws:ec2:region:account-id:vpc/*",
                "arn:aws:ec2:region:account-id:security-group/*",
                "arn:aws:ec2:region:account-id:subnet/*",
                "arn:aws:ec2:region:account-id:route-table/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": "ec2:CreateVpcEndpoint",
            "Resource": [
                "arn:aws:ec2:region:account-id:vpc-endpoint/*"
            ],
            "Condition": {
                "StringEquals": {
                    "ec2:VpceServiceOwner": [
                        "amazon"
                    ]
                }
            }
        }
    ]
}

Controlar os nomes de DNS privados que podem ser especificados para serviços do VPC endpoint

É possível usar a chave de condição ec2:VpceServicePrivateDnsName para controlar qual serviço do endpoint da VPC pode ser modificado ou criado com base no nome de DNS privado associado ao serviço do endpoint da VPC. O seguinte exemplo concede permissão para criar um serviço do endpoint da VPC com o nome de DNS privado especificado. Para usar o exemplo, substitua a região, o ID da conta e o nome de DNS privado.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:ModifyVpcEndpointServiceConfiguration",
                "ec2:CreateVpcEndpointServiceConfiguration"
            ],
            "Resource": [
                "arn:aws:ec2:region:account-id:vpc-endpoint-service/*"
            ],
            "Condition": {
                "StringEquals": {
                    "ec2:VpceServicePrivateDnsName": [
                        "example.com"
                    ]
                }
            }
        }
    ]
}

Controlar os nomes de serviço que podem ser especificados para serviços do VPC endpoint

É possível usar a chave de condição ec2:VpceServiceName para controlar qual VPC endpoint pode ser criado com base no nome do serviço do VPC endpoint. O seguinte exemplo concede permissão para criar um endpoint da VPC com o nome do serviço especificado. Para usar o exemplo, substitua a região, o ID da conta e o nome do serviço.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "ec2:CreateVpcEndpoint",
            "Resource": [
                "arn:aws:ec2:region:account-id:vpc/*",
                "arn:aws:ec2:region:account-id:security-group/*",
                "arn:aws:ec2:region:account-id:subnet/*",
                "arn:aws:ec2:region:account-id:route-table/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": "ec2:CreateVpcEndpoint",
            "Resource": [
                "arn:aws:ec2:region:account-id:vpc-endpoint/*"
            ],
            "Condition": {
                "StringEquals": {
                    "ec2:VpceServiceName": [
                        "com.amazonaws.region.s3"
                    ]
                }
            }
        }
    ]
}