基于身份的策略示例 Amazon PrivateLink - Amazon Virtual Private Cloud
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

基于身份的策略示例 Amazon PrivateLink

默认情况下,用户和角色没有创建或修改 Amazon PrivateLink 资源的权限。他们也无法使用 Amazon Web Services Management Console、 Amazon Command Line Interface (Amazon CLI) 或来执行任务 Amazon API。要授予用户对其所需资源执行操作的权限,IAM管理员可以创建IAM策略。然后,管理员可以将IAM策略添加到角色中,用户可以代入这些角色。

要了解如何使用这些示例策略文档创建IAM基于身份的JSON策略,请参阅IAM用户指南中的创建IAM策略(控制台)

有关由 Amazon PrivateLink定义的操作和资源类型(包括每种资源类型的格式)的详细信息,请参阅《服务授权参考》EC2中的 Amazon 操作、资源和条件密钥。ARNs

控制VPC端点的使用

默认情况下, 用户无权使用终端节点。您可以创建一个基于身份的策略,向用户授予创建、修改、描述和删除端点的权限。示例如下:

{ "Version": "2012-10-17", "Statement":[ { "Effect": "Allow", "Action":"ec2:*VpcEndpoint*", "Resource":"*" } ] }

有关使用VPC终端节点控制对服务的访问的信息,请参阅使用端点策略控制对 VPC 端点的访问

根据服务所有者控制VPC终端节点的创建

您可以使用ec2:VpceServiceOwner条件密钥根据谁拥有服务(amazonaws-marketplace、或账户 ID)来控制可以创建的VPC终端节点。以下示例授予使用指定服务所有者创建VPC终端节点的权限。要使用此示例,请替换区域、账户 ID 和服务拥有者。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "ec2:CreateVpcEndpoint", "Resource": [ "arn:aws:ec2:region:account-id:vpc/*", "arn:aws:ec2:region:account-id:security-group/*", "arn:aws:ec2:region:account-id:subnet/*", "arn:aws:ec2:region:account-id:route-table/*" ] }, { "Effect": "Allow", "Action": "ec2:CreateVpcEndpoint", "Resource": [ "arn:aws:ec2:region:account-id:vpc-endpoint/*" ], "Condition": { "StringEquals": { "ec2:VpceServiceOwner": [ "amazon" ] } } } ] }

控制可以为VPC终端节点服务指定的私有DNS名称

您可以使用ec2:VpceServicePrivateDnsName条件密钥根据与VPC终端节点服务关联的私有DNS名称来控制可以修改或创建哪些VPC终端节点服务。以下示例授予使用指定私有DNS名称创建VPC终端节点服务的权限。要使用此示例,请替换区域、账户 ID 和私有DNS名称。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:ModifyVpcEndpointServiceConfiguration", "ec2:CreateVpcEndpointServiceConfiguration" ], "Resource": [ "arn:aws:ec2:region:account-id:vpc-endpoint-service/*" ], "Condition": { "StringEquals": { "ec2:VpceServicePrivateDnsName": [ "example.com" ] } } } ] }

控制可以为VPC终端节点服务指定的服务名称

您可以使用ec2:VpceServiceName条件密钥根据VPC终端节点服务名称来控制可以创建哪些VPC端点。以下示例授予使用指定服务名称创建VPC终端节点的权限。要使用此示例,请替换区域、账户 ID 和服务名称。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "ec2:CreateVpcEndpoint", "Resource": [ "arn:aws:ec2:region:account-id:vpc/*", "arn:aws:ec2:region:account-id:security-group/*", "arn:aws:ec2:region:account-id:subnet/*", "arn:aws:ec2:region:account-id:route-table/*" ] }, { "Effect": "Allow", "Action": "ec2:CreateVpcEndpoint", "Resource": [ "arn:aws:ec2:region:account-id:vpc-endpoint/*" ], "Condition": { "StringEquals": { "ec2:VpceServiceName": [ "com.amazonaws.region.s3" ] } } } ] }