以身分識別為基礎的原則範例 AWS PrivateLink - Amazon Virtual Private Cloud
控制 VPC 端點的使用根據服務擁有者控制 VPC 端點建立控制可為 VPC 端點服務指定的私有 DNS 名稱 控制可為 VPC 端點服務指定的服務名稱

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

以身分識別為基礎的原則範例 AWS PrivateLink

根據預設,使用者和角色不具備建立或修改 AWS PrivateLink 資源的權限。他們也無法使用 AWS Management Console、 AWS Command Line Interface (AWS CLI) 或 AWS API 來執行工作。若要授予使用者對其所需資源執行動作的許可,IAM 管理員可以建立 IAM 政策。然後,管理員可以將 IAM 政策新增至角色,使用者便能擔任這些角色。

若要了解如何使用這些範例 JSON 政策文件建立 IAM 身分型政策,請參閱《IAM 使用者指南》中的建立 IAM 政策

有關由定義的動作和資源類型的詳細資訊 AWS PrivateLink,包括每種資源類型的 ARN 格式,請參閱服務授權參考適用於 Amazon EC2 的動作、資源和條件金鑰

控制 VPC 端點的使用

根據預設, 使用者沒有使用端點的許可。您可以建立身分型政策,將建立、修改、說明和刪除端點的權限授予使用者。以下是範例。

{
    "Version": "2012-10-17",
    "Statement":[
        {
            "Effect": "Allow",
            "Action":"ec2:*VpcEndpoint*",
            "Resource":"*"
        }
    ]
}

如需使用 VPC 端點控制服務存取的資訊,請參閱 使用端點政策搭配 VPC 端點來控制存取權

根據服務擁有者控制 VPC 端點建立

您可以根據誰擁有該服務 (amazonaws-marketplace 或帳戶 ID),使用 ec2:VpceServiceOwner 條件金鑰控制可建立的 VPC 端點。下列範例授會與使用指定的服務擁有者建立 VPC 端點的許可。若要使用此範例,請替換區域、帳戶 ID 和服務擁有者。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "ec2:CreateVpcEndpoint",
            "Resource": [
                "arn:aws:ec2:region:account-id:vpc/*",
                "arn:aws:ec2:region:account-id:security-group/*",
                "arn:aws:ec2:region:account-id:subnet/*",
                "arn:aws:ec2:region:account-id:route-table/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": "ec2:CreateVpcEndpoint",
            "Resource": [
                "arn:aws:ec2:region:account-id:vpc-endpoint/*"
            ],
            "Condition": {
                "StringEquals": {
                    "ec2:VpceServiceOwner": [
                        "amazon"
                    ]
                }
            }
        }
    ]
}

控制可為 VPC 端點服務指定的私有 DNS 名稱

您可以根據與 VPC 端點服務相關聯的私有 DNS 名稱,使用 ec2:VpceServicePrivateDnsName 條件金鑰控制可修改或建立的 VPC 端點服務。下列範例會授與使用指定的私有 DNS 名稱建立 VPC 端點服務的許可。若要使用此範例,請替換區域、帳戶 ID 和私有 DNS 名稱。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:ModifyVpcEndpointServiceConfiguration",
                "ec2:CreateVpcEndpointServiceConfiguration"
            ],
            "Resource": [
                "arn:aws:ec2:region:account-id:vpc-endpoint-service/*"
            ],
            "Condition": {
                "StringEquals": {
                    "ec2:VpceServicePrivateDnsName": [
                        "example.com"
                    ]
                }
            }
        }
    ]
}

控制可為 VPC 端點服務指定的服務名稱

您可以根據 VPC 端點服務名稱,使用 ec2:VpceServiceName 條件金鑰控制可建立的 VPC 端點。下列範例會授與使用指定的服務名稱建立 VPC 端點的許可。若要使用此範例,請替換區域、帳戶 ID 和服務名稱。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "ec2:CreateVpcEndpoint",
            "Resource": [
                "arn:aws:ec2:region:account-id:vpc/*",
                "arn:aws:ec2:region:account-id:security-group/*",
                "arn:aws:ec2:region:account-id:subnet/*",
                "arn:aws:ec2:region:account-id:route-table/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": "ec2:CreateVpcEndpoint",
            "Resource": [
                "arn:aws:ec2:region:account-id:vpc-endpoint/*"
            ],
            "Condition": {
                "StringEquals": {
                    "ec2:VpceServiceName": [
                        "com.amazonaws.region.s3"
                    ]
                }
            }
        }
    ]
}