适用于账户管理的 Amazon Virtual Private Cloud 的端点策略
您可以为账户管理创建 Amazon VPC 端点策略,并在其中指定以下内容:
-
可执行操作的主体。
-
主体可以执行的操作。
-
可对其执行操作的资源。
以下示例显示了一项 Amazon VPC 端点策略,该策略允许账户 123456789012 中名为 Alice 的 IAM 用户检索和更改任何 Amazon Web Services 账户 的备用联系人信息,但拒绝所有 IAM 用户删除任何账户中任何备用联系人信息的权限。
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"account:GetAlternateContact",
"account:PutAlternateContact"
],
"Resource": "arn:aws::iam:*:account,
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws::iam:123456789012:user/Alice"
}
},
{
"Action": "account:DeleteAlternateContact",
"Resource": "*",
"Effect": "Deny",
"Principal": "arn:aws::iam:*:root"
}
]
}
如果要将属于 Amazon 组织的账户的访问权限授予其中一个组织成员账户的主体,则 Resource
元素必须使用以下格式:
arn:aws:account::
{ManagementAccountId}
:account/o-{OrganizationId}
/{AccountId}
有关创建端点策略的更多信息,请参阅《Amazon PrivateLink 指南》中的使用 VPC 端点控制对服务的访问。