适用于账户管理的 Amazon Virtual Private Cloud 的端点策略 - Amazon 账户管理
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

适用于账户管理的 Amazon Virtual Private Cloud 的端点策略

您可以为账户管理创建 Amazon VPC 端点策略,并在其中指定以下内容:

  • 可执行操作的主体。

  • 主体可以执行的操作。

  • 可对其执行操作的资源。

以下示例显示了一项 Amazon VPC 端点策略,该策略允许账户 123456789012 中名为 Alice 的 IAM 用户检索和更改任何 Amazon Web Services 账户 的备用联系人信息,但拒绝所有 IAM 用户删除任何账户中任何备用联系人信息的权限。

{ "Version": "2012-10-17", "Statement": [ { "Action": [ "account:GetAlternateContact", "account:PutAlternateContact" ], "Resource": "arn:aws::iam:*:account, "Effect": "Allow", "Principal": { "AWS": "arn:aws::iam:123456789012:user/Alice" } }, { "Action": "account:DeleteAlternateContact", "Resource": "*", "Effect": "Deny", "Principal": "arn:aws::iam:*:root" } ] }

如果要将属于 Amazon 组织的账户的访问权限授予其中一个组织成员账户的主体,则 Resource 元素必须使用以下格式:

arn:aws:account::{ManagementAccountId}:account/o-{OrganizationId}/{AccountId}

有关创建端点策略的更多信息,请参阅《Amazon PrivateLink 指南》中的使用 VPC 端点控制对服务的访问