本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用VPC端點政策控制對端點的存取
端點政策是資源型政策,您連接至VPC端點以控制哪些 AWS 主體可以使用端點存取 AWS 服務。
端點政策不會覆寫或取代身分型政策或資源型政策。例如,如果您使用介面端點連線至 Amazon S3,您也可以使用 Amazon S3 儲存貯體政策來控制來自特定端點或特定 的儲存貯體存取權VPCs。
考量事項
-
端點政策是使用JSON政策語言IAM的政策文件。其必須包含 Principal 元素。端點政策的大小不可超過 20,480 個字元 (包含空格)。
-
當您為 建立介面或閘道端點時 AWS 服務,您可以將單一端點政策連接至端點。您可以隨時更新端點政策。如果您未連接端點政策,則我們會連接預設端點政策。
-
並非所有 都 AWS 服務 支援端點政策。如果 AWS 服務 不支援端點政策,我們允許完全存取服務的任何端點。如需詳細資訊,請參閱檢視端點政策支援。
-
當您為 以外的端點服務建立VPC端點時 AWS 服務,我們允許完全存取端點。
-
您無法將萬用字元 (* 或 ?) 或數值條件運算子與參考系統產生的識別符 (例如
aws:PrincipalAccount或 ) 的全域內容索引鍵搭配使用aws:SourceVpc。 -
當您使用字串條件運算子 時,您必須在每個萬用字元之前或之後使用至少六個連續字元。
-
當您在資源或條件元素ARN中指定 時, 的帳戶部分ARN可以包含帳戶 ID 或萬用字元,但不能同時包含兩者。
預設端點政策
預設端點政策會授予端點的完整存取權。
{ "Statement": [ { "Effect": "Allow", "Principal": "*", "Action": "*", "Resource": "*" } ] }
介面端點政策
如需 的端點政策範例 AWS 服務,請參閱 AWS 服務 與 整合 AWS PrivateLink。表格中的第一欄包含每個 AWS PrivateLink 文件的連結 AWS 服務。如果 AWS 服務 支援端點政策,其文件會包含端點政策範例。
閘道端點的主體
使用閘道端點時,元素Principal必須設定為 *。若要指定委託人,請使用 aws:PrincipalArn 條件金鑰。
"Condition": { "StringEquals": { "aws:PrincipalArn": "arn:aws:iam::123456789012:user/endpointuser" } }
如果您以下列格式指定委託人, AWS 帳戶根使用者 則只會授予 存取權,而不是帳戶的所有使用者和角色。
"AWS": "account_id"
如需閘道端點的端點政策範例,請參閱下列主題:
更新VPC端點政策
使用下列程序來更新 AWS 服務的端點政策。更新端點政策後,變更生效需費時幾分鐘。
若要使用主控台更新端點政策
在 開啟 Amazon VPC主控台https://console.aws.amazon.com/vpc/
。 -
在導覽窗格中選擇端點。
-
選取VPC端點。
-
選擇 Actions (動作)、Manage policy (管理政策)。
-
選擇 Full Access (完整存取) 以允許完整存取服務,或選擇 Custom (自訂) 並連接自訂政策。
-
選擇 Save (儲存)。
若要使用命令列更新端點政策
-
modify-vpc-endpoint (AWS CLI)
-
Edit-EC2VpcEndpoint (適用於 Windows 的工具 PowerShell)
