本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
ResourcePolicyStatement
為 API 的所有方法和路徑配置資源策略。如需有關資源政策的詳細資訊,請參閱《API Gateway 開發人員指南》中的使用 API Gateway 資源政策控制 API 的存取。
語法
若要在 AWS Serverless Application Model (AWS SAM) 範本中宣告此實體,請使用下列語法。
YAML
AwsAccountBlacklist:ListAwsAccountWhitelist:ListCustomStatements:ListIntrinsicVpcBlacklist:ListIntrinsicVpcWhitelist:ListIntrinsicVpceBlacklist:ListIntrinsicVpceWhitelist:ListIpRangeBlacklist:ListIpRangeWhitelist:ListSourceVpcBlacklist:ListSourceVpcWhitelist:List
屬性
-
AwsAccountBlacklist -
要封鎖的 AWS 帳戶。
類型:字串的清單
必要:否
AWS CloudFormation 兼容性:此屬性是唯一的, AWS SAM 並且沒有相 AWS CloudFormation 等的屬性。
-
AwsAccountWhitelist -
要允許的 AWS 帳戶。如需此屬性的使用範例,請參閱本頁底部的「範例」一節。
類型:字串的清單
必要:否
AWS CloudFormation 兼容性:此屬性是唯一的, AWS SAM 並且沒有相 AWS CloudFormation 等的屬性。
-
CustomStatements -
要套用至此 API 的自訂資源政策陳述式清單。如需此屬性的使用範例,請參閱本頁底部的「範例」一節。
類型:清單
必要:否
AWS CloudFormation 兼容性:此屬性是唯一的, AWS SAM 並且沒有相 AWS CloudFormation 等的屬性。
-
IntrinsicVpcBlacklist -
要封鎖的虛擬私有雲端 (VPC) 清單,其中每個 VPC 都指定為參考,例如動態參考或
Ref內建函數。如需此屬性的使用範例,請參閱本頁底部的「範例」一節。類型:清單
必要:否
AWS CloudFormation 兼容性:此屬性是唯一的, AWS SAM 並且沒有相 AWS CloudFormation 等的屬性。
-
IntrinsicVpcWhitelist -
要允許的 VPC 清單,其中每個 VPC 都被指定為參考,例如動態參考或
Ref內建函數。類型:清單
必要:否
AWS CloudFormation 兼容性:此屬性是唯一的, AWS SAM 並且沒有相 AWS CloudFormation 等的屬性。
-
IntrinsicVpceBlacklist -
要封鎖的 VPC 端點清單,其中每個 VPC 端點都指定為參考,例如動態參考或
Ref內建函數。類型:清單
必要:否
AWS CloudFormation 兼容性:此屬性是唯一的, AWS SAM 並且沒有相 AWS CloudFormation 等的屬性。
-
IntrinsicVpceWhitelist -
要允許的 VPC 端點清單,其中每個 VPC 端點都指定為參考,例如動態參考或
Ref內建函數。如需此屬性的使用範例,請參閱本頁底部的「範例」一節。類型:清單
必要:否
AWS CloudFormation 兼容性:此屬性是唯一的, AWS SAM 並且沒有相 AWS CloudFormation 等的屬性。
-
IpRangeBlacklist -
要封鎖的 IP 位址或位址範圍。如需此屬性的使用範例,請參閱本頁底部的「範例」一節。
類型:清單
必要:否
AWS CloudFormation 兼容性:此屬性是唯一的, AWS SAM 並且沒有相 AWS CloudFormation 等的屬性。
-
IpRangeWhitelist -
要允許的 IP 位址或位址範圍。
類型:清單
必要:否
AWS CloudFormation 兼容性:此屬性是唯一的, AWS SAM 並且沒有相 AWS CloudFormation 等的屬性。
-
SourceVpcBlacklist -
要封鎖的來源 VPC 或 VPC 端點。來源 VPC 名稱必須以開頭,
"vpc-"且來源 VPC 端點名稱必須以開頭。"vpce-"如需此屬性的使用範例,請參閱本頁底部的「範例」一節。類型:清單
必要:否
AWS CloudFormation 兼容性:此屬性是唯一的, AWS SAM 並且沒有相 AWS CloudFormation 等的屬性。
-
SourceVpcWhitelist -
要允許的來源 VPC 或 VPC 端點。來源 VPC 名稱必須以開頭,
"vpc-"且來源 VPC 端點名稱必須以開頭。"vpce-"類型:清單
必要:否
AWS CloudFormation 兼容性:此屬性是唯一的, AWS SAM 並且沒有相 AWS CloudFormation 等的屬性。
範例
資源策略範例
下列範例會封鎖兩個 IP 位址和一個來源 VPC,並允許 AWS 帳戶。
YAML
Auth: ResourcePolicy: CustomStatements: [{ "Effect": "Allow", "Principal": "*", "Action": "execute-api:Invoke", "Resource": "execute-api:/Prod/GET/pets", "Condition": { "IpAddress": { "aws:SourceIp": "1.2.3.4" } } }] IpRangeBlacklist: - "10.20.30.40" - "1.2.3.4" SourceVpcBlacklist: - "vpce-1a2b3c4d" AwsAccountWhitelist: - "111122223333" IntrinsicVpcBlacklist: - "{{resolve:ssm:SomeVPCReference:1}}" - !Ref MyVPC IntrinsicVpceWhitelist: - "{{resolve:ssm:SomeVPCEReference:1}}" - !Ref MyVPCE
