本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
使用端点策略控制对 VPC 端点的访问
终端节点策略是一种基于资源的策略,您可以将其附加到 VPC 终端节点,以控制哪些 Amazon 委托人可以使用该终端节点访问。 Amazon Web Service
端点策略不会覆盖或取代基于身份的策略或基于资源的策略。例如,如果您目前使用接口端点连接到 Amazon S3,则还可以使用 Amazon S3 存储桶策略来控制从特定端点或特定 VPC 对存储桶进行的访问。
注意事项
-
端点策略是使用 IAM policy 语言的 JSON 策略文档。其中必须包含一个 Principal 元素。端点策略的大小不得超过 20480 个字符(包含空格)。
-
在为创建接口或网关终端节点时 Amazon Web Service,可以将单个终端节点策略附加到该终端节点。您可以随时更新端点策略。如果您不附加端点策略,我们将附加默认端点策略。
-
并非所有都 Amazon Web Services 支持端点策略。如果 Amazon Web Service 不支持终端节点策略,则我们允许对该服务的任何终端节点进行完全访问权限。有关更多信息,请参阅 查看端点策略支持。
-
当您为端点服务而非 Amazon Web Service创建 VPC 端点时,我们允许对该端点进行完全访问。
-
不能使用通配符(* 或?) 或带有引用系统生成的标识符的全局上下文键的数字条件运算符(例如,
aws:PrincipalAccount
或aws:SourceVpc
)。 -
使用字符串条件运算符时,必须使用至少六个连续字符,然后才能包含通配符。
-
当您在资源或条件元素中指定 ARN 时,ARN 的账户部分可以包含账户 ID 或通配符,但不能同时包含两者。
默认端点策略
默认端点策略授予对端点的完全访问权限。
{ "Statement": [ { "Effect": "Allow", "Principal": "*", "Action": "*", "Resource": "*" } ] }
接口端点策略
有关终端节点策略的示例 Amazon Web Services,请参阅Amazon Web Services 与之集成 Amazon PrivateLink。表中的第一列包含每个 Amazon PrivateLink 文档的链接 Amazon Web Service。如果 Amazon Web Service 支持端点策略,则其文档包括端点策略示例。
网关端点的主体
对于网关终端节点,必须将Principal
元素设置为*
。要指定委托人,请使用aws:PrincipalArn
条件键。
"Condition": { "StringEquals": { "aws:PrincipalArn": "
arn:aws:iam::123456789012:user/endpointuser
" } }
如果您按以下格式指定委托人,则 Amazon Web Services 账户根用户 只能向该账户的用户和角色授予访问权限,而非所有用户和角色。
"AWS": "
account_id
"
有关网关端点的端点策略示例,请参阅以下内容:
更新 VPC 端点策略
按照以下步骤更新 Amazon Web Service的端点策略。在更新完端点策略后,您所做的更改可能需要几分钟才能生效。
使用控制台更新端点策略
通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/
。 -
在导航窗格中,选择端点。
-
选择 VPC 端点。
-
依次选择 Actions(操作)、Manage policy(管理策略)。
-
选择 Full Access(完全访问)以允许对服务进行完全访问,或者选择 Custom(自定义)并附加自定义策略。
-
选择保存。
使用命令行更新端点策略
-
modify-vpc-endpoint (Amazon CLI)
-
Edit-EC2VpcEndpoint(适用于 Windows 的工具 PowerShell)