本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
使用端点策略控制对 VPC 端点的访问
终端节点策略是一种基于资源的策略,您可以将其附加到 VPC 终端节点,以控制哪些 Amazon 委托人可以使用该终端节点访问。 Amazon Web Service
端点策略不会覆盖或取代基于身份的策略或基于资源的策略。例如,如果您目前使用接口端点连接到 Amazon S3,则还可以使用 Amazon S3 存储桶策略来控制从特定端点或特定 VPC 对存储桶进行的访问。
注意事项
-
端点策略是使用 IAM policy 语言的 JSON 策略文档。其中必须包含一个 Principal 元素。端点策略的大小不得超过 20480 个字符(包含空格)。
-
在为创建接口或网关终端节点时 Amazon Web Service,可以将单个终端节点策略附加到该终端节点。您可以随时更新端点策略。如果您不附加端点策略,我们将附加默认端点策略。
-
并非所有都 Amazon Web Services 支持端点策略。如果 Amazon Web Service 不支持终端节点策略,则我们允许对该服务的任何终端节点进行完全访问权限。有关更多信息,请参阅 查看端点策略支持。
-
当您为端点服务而非 Amazon Web Service创建 VPC 端点时,我们允许对该端点进行完全访问。
默认端点策略
默认端点策略授予对端点的完全访问权限。
{ "Statement": [ { "Effect": "Allow", "Principal": "*", "Action": "*", "Resource": "*" } ] }
接口端点策略
有关终端节点策略的示例 Amazon Web Services,请参阅Amazon Web Services 与之集成 Amazon PrivateLink。表中的第一列包含每个 Amazon PrivateLink 文档的链接 Amazon Web Service。如果 Amazon Web Service 支持端点策略,则其文档包括端点策略示例。
网关端点的主体
对于网关端点,您必须使用 aws:PrincipalArn
条件键向主体授予访问权限。
如果您使用以下格式之一指定主体,则访问权限只会授予 Amazon Web Services 账户根用户 ,而非该账户的所有用户和角色。
"AWS": "account_id
"
"AWS": "arn:aws:iam::account_id
:root"
如果您为主体指定 Amazon 资源名称(ARN),则保存策略时 ARN 将转换为唯一的主体 ID。
有关网关端点的端点策略示例,请参阅以下内容:
更新 VPC 端点策略
按照以下步骤更新 Amazon Web Service的端点策略。在更新完端点策略后,您所做的更改可能需要几分钟才能生效。
使用控制台更新端点策略
通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/
。 -
在导航窗格中,选择端点。
-
选择 VPC 端点。
-
依次选择 Actions(操作)、Manage policy(管理策略)。
-
选择 Full Access(完全访问)以允许对服务进行完全访问,或者选择 Custom(自定义)并附加自定义策略。
-
选择保存。
使用命令行更新端点策略
-
modify-vpc-endpoint (Amazon CLI)
-
Edit-EC2VpcEndpoint(适用于 Windows 的工具) PowerShell