的身分型政策範例 AWS PrivateLink - Amazon Virtual Private Cloud
控制VPC端點的使用根據服務擁有者控制VPC端點建立控制可為VPC端點服務指定的私有DNS名稱 控制可為VPC端點服務指定的服務名稱

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

的身分型政策範例 AWS PrivateLink

根據預設,使用者和角色不具備建立或修改 AWS PrivateLink 資源的權限。他們也無法使用 AWS Management Console、 AWS Command Line Interface (AWS CLI) 或 來執行任務 AWS API。若要授予使用者對所需資源執行動作的許可,IAM管理員可以建立IAM政策。然後,管理員可以將IAM政策新增至角色,使用者可以擔任角色。

若要了解如何使用這些範例政策文件來建立IAM身分型JSON政策,請參閱 IAM 使用者指南 中的建立IAM政策

如需 定義的動作和資源類型的詳細資訊 AWS PrivateLink,包括ARNs每種資源類型的 格式,請參閱服務授權參考 中的 Amazon 的動作、資源和條件索引鍵EC2

控制VPC端點的使用

根據預設, 使用者沒有使用端點的許可。您可以建立身分型政策,將建立、修改、說明和刪除端點的權限授予使用者。以下是範例。

{
    "Version": "2012-10-17",
    "Statement":[
        {
            "Effect": "Allow",
            "Action":"ec2:*VpcEndpoint*",
            "Resource":"*"
        }
    ]
}

如需使用VPC端點控制服務存取的資訊,請參閱 使用VPC端點政策控制對端點的存取

根據服務擁有者控制VPC端點建立

您可以使用 ec2:VpceServiceOwner 條件索引鍵,根據擁有 服務的人 (amazonaws-marketplace或 帳戶 ID) 來控制可以建立哪些VPC端點。下列範例授予許可,以使用指定的服務擁有者建立VPC端點。若要使用此範例,請替換區域、帳戶 ID 和服務擁有者。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "ec2:CreateVpcEndpoint",
            "Resource": [
                "arn:aws:ec2:region:account-id:vpc/*",
                "arn:aws:ec2:region:account-id:security-group/*",
                "arn:aws:ec2:region:account-id:subnet/*",
                "arn:aws:ec2:region:account-id:route-table/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": "ec2:CreateVpcEndpoint",
            "Resource": [
                "arn:aws:ec2:region:account-id:vpc-endpoint/*"
            ],
            "Condition": {
                "StringEquals": {
                    "ec2:VpceServiceOwner": [
                        "amazon"
                    ]
                }
            }
        }
    ]
}

控制可為VPC端點服務指定的私有DNS名稱

您可以使用 ec2:VpceServicePrivateDnsName 條件金鑰,根據與VPC端點服務相關聯的私有DNS名稱來控制可以修改或建立哪些VPC端點服務。下列範例授予許可,以建立具有指定私有DNS名稱的VPC端點服務。若要使用此範例,請取代區域、帳戶 ID 和私有DNS名稱。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:ModifyVpcEndpointServiceConfiguration",
                "ec2:CreateVpcEndpointServiceConfiguration"
            ],
            "Resource": [
                "arn:aws:ec2:region:account-id:vpc-endpoint-service/*"
            ],
            "Condition": {
                "StringEquals": {
                    "ec2:VpceServicePrivateDnsName": [
                        "example.com"
                    ]
                }
            }
        }
    ]
}

控制可為VPC端點服務指定的服務名稱

您可以使用 ec2:VpceServiceName 條件索引鍵,根據VPC端點服務名稱控制可以建立的VPC端點。下列範例授予許可,以建立具有指定服務名稱的VPC端點。若要使用此範例,請替換區域、帳戶 ID 和服務名稱。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "ec2:CreateVpcEndpoint",
            "Resource": [
                "arn:aws:ec2:region:account-id:vpc/*",
                "arn:aws:ec2:region:account-id:security-group/*",
                "arn:aws:ec2:region:account-id:subnet/*",
                "arn:aws:ec2:region:account-id:route-table/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": "ec2:CreateVpcEndpoint",
            "Resource": [
                "arn:aws:ec2:region:account-id:vpc-endpoint/*"
            ],
            "Condition": {
                "StringEquals": {
                    "ec2:VpceServiceName": [
                        "com.amazonaws.region.s3"
                    ]
                }
            }
        }
    ]
}