用于账户管理的亚马逊 Virtual Private Cloud 终端节点策略 - Amazon 账户管理
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

用于账户管理的亚马逊 Virtual Private Cloud 终端节点策略

您可以为账户管理创建 Amazon VPC 终端节点策略,在其中指定以下内容:

  • 可执行操作的主体。

  • 校长可以执行的操作。

  • 可对其执行操作的资源。

以下示例显示了亚马逊VPC终端节点策略,该策略允许账户 123456789012 中的一个名为 Alice 的IAM用户检索和更改任何用户的备用联系信息 Amazon Web Services 账户,但拒绝所有IAM用户删除任何账户上的任何备用联系人信息的权限。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "account:GetAlternateContact",
                "account:PutAlternateContact"
            ],
            "Resource": "arn:aws::iam:*:account,
            "Effect": "Allow",
            "Principal": {
              "AWS": "arn:aws::iam:123456789012:user/Alice"
            }
        },
        {
            "Action": "account:DeleteAlternateContact",
            "Resource": "*",
            "Effect": "Deny",
            "Principal": "arn:aws::iam:*:root"
        }
    ]
}

如果您想向属于某个账户的账户授予访问权限 Amazon 组织到位于该组织成员账户中的委托人,则该Resource元素必须使用以下格式:

arn:aws:account::{ManagementAccountId}:account/o-{OrganizationId}/{AccountId}

有关创建终端节点策略的更多信息,请参阅《》中的 “使用VPC终端节点控制对服务的访问Amazon PrivateLink 指南