本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
使用端点策略控制对 VPC 端点的访问
终端节点策略是一种基于资源的策略,您可以将其附加到 VPC 终端节点,以控制哪些 AWS 委托人可以使用该终端节点访问。 AWS 服务
端点策略不会覆盖或取代基于身份的策略或基于资源的策略。例如,如果您目前使用接口端点连接到 Amazon S3,则还可以使用 Amazon S3 存储桶策略来控制从特定端点或特定 VPC 对存储桶进行的访问。
注意事项
默认端点策略
默认端点策略授予对端点的完全访问权限。
{ "Statement": [ { "Effect": "Allow", "Principal": "*", "Action": "*", "Resource": "*" } ] }
接口端点策略
有关终端节点策略的示例 AWS 服务,请参阅AWS 服务 与之集成 AWS PrivateLink。表中的第一列包含每个 AWS PrivateLink 文档的链接 AWS 服务。如果 AWS 服务 支持端点策略,则其文档包括端点策略示例。
网关端点的主体
对于网关终端节点,必须将Principal
元素设置为*
。要指定委托人,请使用aws:PrincipalArn
条件键。
"Condition": { "StringEquals": { "aws:PrincipalArn": "
arn:aws:iam::123456789012:user/endpointuser
" } }
如果您按以下格式指定委托人,则 AWS 账户根用户 只能向该账户的用户和角色授予访问权限,而非所有用户和角色。
"AWS": "
account_id
"
有关网关端点的端点策略示例,请参阅以下内容:
更新 VPC 端点策略
按照以下步骤更新 AWS 服务的端点策略。在更新完端点策略后,您所做的更改可能需要几分钟才能生效。
使用控制台更新端点策略
通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/
。 -
在导航窗格中,选择端点。
-
选择 VPC 端点。
-
依次选择 Actions(操作)、Manage policy(管理策略)。
-
选择 Full Access(完全访问)以允许对服务进行完全访问,或者选择 Custom(自定义)并附加自定义策略。
-
选择保存。
使用命令行更新端点策略
-
modify-vpc-endpoint (AWS CLI)
-
Edit-EC2VpcEndpoint(适用于 Windows 的工具 PowerShell)