适用于 Amazon PrivateLink 的基于身份的策略示例 - Amazon Virtual Private Cloud
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

适用于 Amazon PrivateLink 的基于身份的策略示例

默认情况下,用户和角色没有创建或修改 Amazon PrivateLink 资源的权限。他们也无法使用 Amazon Web Services Management Console、Amazon Command Line Interface(Amazon CLI)或 Amazon API 执行任务。要授予用户对所需资源执行操作的权限,IAM 管理员可以创建 IAM policy。然后,管理员可以向角色添加 IAM policy,并且用户可以代入角色。

要了解如何使用这些示例 JSON 策略文档创建基于 IAM 身份的策略,请参阅《IAM 用户指南》中的创建 IAM policy

有关 Amazon PrivateLink 定义的操作和资源类型的详细信息,包括每种资源类型的 ARN 格式,请参阅《服务授权参考》中的 Amazon EC2 的操作、资源和条件键

控制 VPC 端点的使用

默认情况下, 用户无权使用终端节点。您可以创建一个基于身份的策略,向用户授予创建、修改、描述和删除端点的权限。以下是示例。

{ "Version": "2012-10-17", "Statement":[ { "Effect": "Allow", "Action":"ec2:*VpcEndpoint*", "Resource":"*" } ] }

有关使用 VPC 端点控制对服务的访问的信息,请参阅 使用端点策略控制对 VPC 端点的访问

基于服务拥有者控制 VPC 端点创建

您可以使用 ec2:VpceServiceOwner 条件键根据服务拥有者(amazonaws-marketplace 或账户 ID)来控制可以创建的 VPC 端点。以下示例授予使用指定的服务拥有者创建 VPC 端点的权限。要使用此示例,请替换区域、账户 ID 和服务拥有者。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "ec2:CreateVpcEndpoint", "Resource": [ "arn:aws:ec2:region:account-id:vpc/*", "arn:aws:ec2:region:account-id:security-group/*", "arn:aws:ec2:region:account-id:subnet/*", "arn:aws:ec2:region:account-id:route-table/*" ] }, { "Effect": "Allow", "Action": "ec2:CreateVpcEndpoint", "Resource": [ "arn:aws:ec2:region:account-id:vpc-endpoint/*" ], "Condition": { "StringEquals": { "ec2:VpceServiceOwner": [ "amazon" ] } } } ] }

控制可为 VPC 端点服务指定的私有 DNS 名称

您可以使用 ec2:VpceServicePrivateDnsName 条件键来控制可根据与 VPC 端点服务关联的私有 DNS 名称修改或创建哪些 VPC 端点服务。以下示例授予使用指定的私有 DNS 名称创建 VPC 端点服务的权限。要使用此示例,请替换区域、账户 ID 和私有 DNS 名称。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:ModifyVpcEndpointServiceConfiguration", "ec2:CreateVpcEndpointServiceConfiguration" ], "Resource": [ "arn:aws:ec2:region:account-id:vpc-endpoint-service/*" ], "Condition": { "StringEquals": { "ec2:VpceServicePrivateDnsName": [ "example.com" ] } } } ] }

控制可为 VPC 端点服务指定的服务名称

您可以使用 ec2:VpceServiceName 条件键根据 VPC 端点服务名称来控制可以创建的 VPC 端点。以下示例授予使用指定的服务名称创建 VPC 端点的权限。要使用此示例,请替换区域、账户 ID 和服务名称。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "ec2:CreateVpcEndpoint", "Resource": [ "arn:aws:ec2:region:account-id:vpc/*", "arn:aws:ec2:region:account-id:security-group/*", "arn:aws:ec2:region:account-id:subnet/*", "arn:aws:ec2:region:account-id:route-table/*" ] }, { "Effect": "Allow", "Action": "ec2:CreateVpcEndpoint", "Resource": [ "arn:aws:ec2:region:account-id:vpc-endpoint/*" ], "Condition": { "StringEquals": { "ec2:VpceServiceName": [ "com.amazonaws.region.s3" ] } } } ] }