为您的终端节点服务添加和删除权限

在创建终端节点服务配置后，您可以控制哪些服务使用者能够创建连接您服务的接口终端节点或网关负载均衡器终端节点。服务使用者是 IAM 委托人 – IAM 用户、IAM 角色和Amazon账户。要为委托人添加或删除权限，您需要其 Amazon 资源名称 (ARN)。

对于 Amazon 账户（以及该账户中的所有委托人），ARN 的格式为 arn:aws:iam::aws-account-id:root。
对于特定的 IAM 用户，ARN 的格式为 arn:aws:iam::aws-account-id:user/user-name。
对于特定的 IAM 角色，ARN 的格式为 arn:aws:iam::aws-account-id:role/role-name。

注意

如果您将权限设置为“任何人都可以访问”，并将接受模型设置为“接受所有请求”，则您刚已将负载均衡器公开。由于获取 Amazon 账户很容易，因此，即使您的负载均衡器没有公有 IP 地址，对于谁可以访问该账户也没有实际限制。

Console

使用控制台添加或删除权限

通过以下网址打开 Amazon VPC 控制台：https://console.aws.amazon.com/vpc/。
在导航窗格中，选择 Endpoint Services，然后选择您的终端节点服务。
选择 Actions（操作）、Add principals to allow list（将委托人添加到允许列表）。
指定要为其添加权限的委托人的 ARN。要添加更多委托人，请选择 Add principal。要删除委托人，请选择相应条目旁边的交叉图标。

注意

指定 * 可为所有委托人添加权限。这支持所有 Amazon 账户中的所有委托人创建指向您的终端节点服务的终端节点。
选择 Add to principals that are on the allow list（添加到位于允许列表中的委托人）。
要删除委托人，请在列表中选择该委托人，然后选择 Delete。

Amazon CLI

要为您的终端节点服务添加权限，请使用 modify-vpc-endpoint-service-permissions 命令并使用 --add-allowed-principals 参数为委托人添加一个或多个 ARN。


aws ec2 modify-vpc-endpoint-service-permissions --service-id vpce-svc-03d5ebb7d9579a2b3 --add-allowed-principals '["arn:aws:iam::123456789012:root"]'

要查看您已为终端节点服务添加的权限，请使用 describe-vpc-endpoint-service-permissions 命令。


aws ec2 describe-vpc-endpoint-service-permissions --service-id vpce-svc-03d5ebb7d9579a2b3


{
    "AllowedPrincipals": [
        {
            "PrincipalType": "Account", 
            "Principal": "arn:aws:iam::123456789012:root"
        }
    ]
}

要为您的终端节点服务删除权限，请使用 modify-vpc-endpoint-service-permissions 命令并使用 --remove-allowed-principals 参数为委托人删除一个或多个 ARN。


aws ec2 modify-vpc-endpoint-service-permissions --service-id vpce-svc-03d5ebb7d9579a2b3 --remove-allowed-principals '["arn:aws:iam::123456789012:root"]'

Amazon Tools for Windows PowerShell

使用 Edit-EC2EndpointServicePermission。

API

使用 ModifyVpcEndpointServicePermissions。

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

为网关负载均衡器终端节点创建 VPC 终端节点服务配置

更改负载均衡器和接受设置