使用端點政策搭配 VPC 端點來控制存取權 - Amazon Virtual Private Cloud
考量事項預設端點政策介面端點政策閘道端點的主體更新 VPC 端點政策

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用端點政策搭配 VPC 端點來控制存取權

端點策略是一種以資源為基礎的策略,您可以將其連接到 VPC 端點,以控制哪些 AWS 主體可以使用該端點來存取. AWS 服務

端點政策不會覆寫或取代身分型政策或資源型政策。例如,如果您使用界面端點連接至 Amazon S3,您也可使用 Amazon S3 儲存貯體政策來控制特定端點或特定 VPC 對儲存貯體的存取權。

考量事項

  • 端點政策是使用 IAM 政策語言的 JSON 政策文件。其必須包含 Principal 元素。端點政策的大小不可超過 20,480 個字元 (包含空格)。

  • 當您建立的介面或閘道端點時 AWS 服務,可以將單一端點策略附加到端點。您可以隨時更新端點政策。如果您未連接端點政策,則我們會連接預設端點政策

  • 並非所有 AWS 服務 支援端點策略。如果 AWS 服務 不支援端點政策,我們會允許對服務的任何端點進行完整存取。如需詳細資訊,請參閱 檢視端點政策支援

  • 當您為 AWS 服務以外的端點服務建立 VPC 端點時,我們會允許完整存取該端點。

預設端點政策

預設端點政策會授予端點的完整存取權。

{
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": "*",
            "Action": "*",
            "Resource": "*"
        }
    ]
}

介面端點政策

如需端點策略的範例 AWS 服務,請參閱AWS 服務 與整合 AWS PrivateLink。表格中的第一欄包含各自 AWS PrivateLink 文件的連結 AWS 服務。如果 AWS 服務 支援端點策略,則其說明文件會包含端點策略範例。

閘道端點的主體

使用閘道端點時,Principal元素必須設定為*。若要指定主體,請使用aws:PrincipalArn條件索引鍵。

"Condition": {
    "StringEquals": {
        "aws:PrincipalArn": "arn:aws:iam::123456789012:user/endpointuser"
    }
}

如果您以下列格式指定主參與者,則只會將存取權授予帳戶的 AWS 帳戶根使用者 唯一使用者和角色,而非所有使用者和角色。

"AWS": "account_id"

如需閘道端點的端點政策範例,請參閱下列主題:

更新 VPC 端點政策

使用下列程序來更新 AWS 服務的端點政策。更新端點政策後,變更生效需費時幾分鐘。

若要使用主控台更新端點政策

  1. https://console.aws.amazon.com/vpc/ 開啟 Amazon VPC 主控台。

  2. 在導覽窗格中選擇 Endpoints (端點)

  3. 選取 VPC 端點。

  4. 選擇 Actions (動作)、Manage policy (管理政策)。

  5. 選擇 Full Access (完整存取) 以允許完整存取服務,或選擇 Custom (自訂) 並連接自訂政策。

  6. 選擇儲存

若要使用命令列更新端點政策