本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
基于身份的策略示例 Amazon PrivateLink
默认情况下,用户和角色没有创建或修改 Amazon PrivateLink 资源的权限。他们也无法使用 Amazon Web Services Management Console、 Amazon Command Line Interface (Amazon CLI) 或来执行任务 Amazon API。要授予用户对其所需资源执行操作的权限,IAM管理员可以创建IAM策略。然后,管理员可以将IAM策略添加到角色中,用户可以代入这些角色。
要了解如何使用这些示例策略文档创建IAM基于身份的JSON策略,请参阅IAM用户指南中的创建IAM策略(控制台)。
有关由 Amazon PrivateLink定义的操作和资源类型(包括每种资源类型的格式)的详细信息,请参阅《服务授权参考》EC2中的 Amazon 操作、资源和条件密钥。ARNs
控制VPC端点的使用
默认情况下, 用户无权使用终端节点。您可以创建一个基于身份的策略,向用户授予创建、修改、描述和删除端点的权限。示例如下:
{ "Version": "2012-10-17", "Statement":[ { "Effect": "Allow", "Action":"ec2:*VpcEndpoint*", "Resource":"*" } ] }
有关使用VPC终端节点控制对服务的访问的信息,请参阅使用端点策略控制对 VPC 端点的访问。
根据服务所有者控制VPC终端节点的创建
您可以使用ec2:VpceServiceOwner
条件密钥根据谁拥有服务(amazon
aws-marketplace
、或账户 ID)来控制可以创建的VPC终端节点。以下示例授予使用指定服务所有者创建VPC终端节点的权限。要使用此示例,请替换区域、账户 ID 和服务拥有者。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "ec2:CreateVpcEndpoint", "Resource": [ "arn:aws:ec2:
region
:account-id
:vpc/*", "arn:aws:ec2:region
:account-id
:security-group/*", "arn:aws:ec2:region
:account-id
:subnet/*", "arn:aws:ec2:region
:account-id
:route-table/*" ] }, { "Effect": "Allow", "Action": "ec2:CreateVpcEndpoint", "Resource": [ "arn:aws:ec2:region
:account-id
:vpc-endpoint/*" ], "Condition": { "StringEquals": { "ec2:VpceServiceOwner": [ "amazon
" ] } } } ] }
控制可以为VPC终端节点服务指定的私有DNS名称
您可以使用ec2:VpceServicePrivateDnsName
条件密钥根据与VPC终端节点服务关联的私有DNS名称来控制可以修改或创建哪些VPC终端节点服务。以下示例授予使用指定私有DNS名称创建VPC终端节点服务的权限。要使用此示例,请替换区域、账户 ID 和私有DNS名称。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:ModifyVpcEndpointServiceConfiguration", "ec2:CreateVpcEndpointServiceConfiguration" ], "Resource": [ "arn:aws:ec2:
region
:account-id
:vpc-endpoint-service/*" ], "Condition": { "StringEquals": { "ec2:VpceServicePrivateDnsName": [ "example.com
" ] } } } ] }
控制可以为VPC终端节点服务指定的服务名称
您可以使用ec2:VpceServiceName
条件密钥根据VPC终端节点服务名称来控制可以创建哪些VPC端点。以下示例授予使用指定服务名称创建VPC终端节点的权限。要使用此示例,请替换区域、账户 ID 和服务名称。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "ec2:CreateVpcEndpoint", "Resource": [ "arn:aws:ec2:
region
:account-id
:vpc/*", "arn:aws:ec2:region
:account-id
:security-group/*", "arn:aws:ec2:region
:account-id
:subnet/*", "arn:aws:ec2:region
:account-id
:route-table/*" ] }, { "Effect": "Allow", "Action": "ec2:CreateVpcEndpoint", "Resource": [ "arn:aws:ec2:region
:account-id
:vpc-endpoint/*" ], "Condition": { "StringEquals": { "ec2:VpceServiceName": [ "com.amazonaws.region
.s3
" ] } } } ] }