为您的终端节点服务添加和删除权限

在创建终端节点服务配置后，您可以控制哪些服务使用者能够创建连接您服务的接口终端节点或网关负载均衡器终端节点。服务使用者是 IAM 委托人 – IAM 用户、IAM 角色和Amazon账户。要为委托人添加或删除权限，您需要其 Amazon Resource Name (ARN)。

对于 Amazon 账户（以及该账户中的所有委托人），ARN 的格式为 arn:aws:iam::aws-account-id:root。
对于特定的 IAM 用户，ARN 的格式为 arn:aws:iam::aws-account-id:user/user-name。
对于特定的 IAM 角色，ARN 的格式为 arn:aws:iam::aws-account-id:role/role-name。

注意

如果您将权限设置为“任何人都可以访问”，并将接受模型设置为“接受所有请求”，则您刚已将负载均衡器公开。由于获取 Amazon 账户很容易，因此，即使您的负载均衡器没有公有 IP 地址，对于谁可以访问该账户也没有实际限制。

Console

为您的端点服务添加和删除权限

通过以下网址打开 Amazon VPC 控制台：https://console.aws.amazon.com/vpc/。
在导航窗格中，选择终端节点服务。
选择端点服务然后选择 Actions（操作）、Allow principals（允许委托人）。
指定要为其添加权限的委托人的 ARN。要添加另一个委托人，请选择 Add principal（添加委托人）。要删除委托人，请选择相应条目旁边的 Remove（删除）。

指定 * 可为所有委托人添加权限。这支持所有 Amazon 账户中的所有委托人创建指向您的端点服务的端点。
选择 Allow principals（允许委托人）。

Amazon CLI

为您的端点服务添加权限

使用 modify-vpc-endpoint-service-permissions 命令。指定 --add-allowed-principals 参数，为委托人添加一个或多个 ARN。


aws ec2 modify-vpc-endpoint-service-permissions --service-id vpce-svc-03d5ebb7d9579a2b3 --add-allowed-principals '["arn:aws:iam::123456789012:root"]'

查看为端点服务添加的权限

使用 describe-vpc-endpoint-service-permissions 命令。


aws ec2 describe-vpc-endpoint-service-permissions --service-id vpce-svc-03d5ebb7d9579a2b3

下面是示例输出。


{
    "AllowedPrincipals": [
        {
            "PrincipalType": "Account", 
            "Principal": "arn:aws:iam::123456789012:root"
        }
    ]
}

为您的端点服务删除权限

使用 modify-vpc-endpoint-service-permissions 命令。指定 --remove-allowed-principals 参数，为委托人删除一个或多个 ARN。


aws ec2 modify-vpc-endpoint-service-permissions --service-id vpce-svc-03d5ebb7d9579a2b3 --remove-allowed-principals '["arn:aws:iam::123456789012:root"]'

Tools for Windows PowerShell

为您的端点服务添加和删除权限

使用 Edit-EC2EndpointServicePermission。

API

为您的端点服务添加和删除权限

使用 ModifyVpcEndpointServicePermissions。

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

为网关负载均衡器终端节点创建 VPC 终端节点服务配置

更改端点服务配置