本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用端點政策搭配 VPC 端點來控制存取權
端點策略是一種以資源為基礎的策略,您可以將其連接到 VPC 端點,以控制哪些 AWS 主體可以使用該端點來存取. AWS 服務
端點政策不會覆寫或取代身分型政策或資源型政策。例如,如果您使用界面端點連接至 Amazon S3,您也可使用 Amazon S3 儲存貯體政策來控制特定端點或特定 VPC 對儲存貯體的存取權。
考量事項
預設端點政策
預設端點政策會授予端點的完整存取權。
{ "Statement": [ { "Effect": "Allow", "Principal": "*", "Action": "*", "Resource": "*" } ] }
介面端點政策
如需端點策略的範例 AWS 服務,請參閱AWS 服務 與整合 AWS PrivateLink。表格中的第一欄包含各自 AWS PrivateLink 文件的連結 AWS 服務。如果 AWS 服務 支援端點策略,則其說明文件會包含端點策略範例。
閘道端點的主體
使用閘道端點時,Principal
元素必須設定為*
。若要指定主體,請使用aws:PrincipalArn
條件索引鍵。
"Condition": { "StringEquals": { "aws:PrincipalArn": "
arn:aws:iam::123456789012:user/endpointuser
" } }
如果您以下列格式指定主參與者,則只會將存取權授予帳戶的 AWS 帳戶根使用者 唯一使用者和角色,而非所有使用者和角色。
"AWS": "
account_id
"
如需閘道端點的端點政策範例,請參閱下列主題:
更新 VPC 端點政策
使用下列程序來更新 AWS 服務的端點政策。更新端點政策後,變更生效需費時幾分鐘。
若要使用主控台更新端點政策
在 https://console.aws.amazon.com/vpc/
開啟 Amazon VPC 主控台。 -
在導覽窗格中選擇 Endpoints (端點)。
-
選取 VPC 端點。
-
選擇 Actions (動作)、Manage policy (管理政策)。
-
選擇 Full Access (完整存取) 以允許完整存取服務,或選擇 Custom (自訂) 並連接自訂政策。
-
選擇儲存。
若要使用命令列更新端點政策
-
modify-vpc-endpoint (AWS CLI)
-
Edit-EC2VpcEndpoint(視窗工具 PowerShell)