使用端点策略控制对 VPC 端点的访问
端点策略是一种基于资源的策略,您可以将其附加到 VPC 端点来控制哪些 Amazon 主体能使用端点访问 Amazon Web Service。
端点策略不会覆盖或取代基于身份的策略或基于资源的策略。例如,如果您目前使用接口端点连接到 Amazon S3,则还可以使用 Amazon S3 存储桶策略来控制从特定端点或特定 VPC 对存储桶进行的访问。
注意事项
-
端点策略是使用 IAM policy 语言的 JSON 策略文档。其中必须包含一个 Principal 元素。端点策略的大小不得超过 20480 个字符(包含空格)。
-
为 Amazon Web Service 创建接口端点或网关端点时,您可以将单个端点策略附加到端点。您可以随时更新端点策略。如果您不附加端点策略,我们将附加默认端点策略。
-
并非所有 Amazon Web Services 都支持端点策略。如果 Amazon Web Service 不支持端点策略,则我们允许服务对任何端点进行完全访问。有关更多信息,请参阅查看端点策略支持。
-
当您为端点服务而非 Amazon Web Service 创建 VPC 端点时,我们允许对该端点进行完全访问。
默认端点策略
默认端点策略授予对端点的完全访问权限。
{ "Statement": [ { "Effect": "Allow", "Principal": "*", "Action": "*", "Resource": "*" } ] }
接口端点策略
有关 Amazon Web Services 的端点策略示例,请参阅 与 Amazon PrivateLink 集成的 Amazon Web Services。该表的第一列中包含每项 Amazon Web Service 的 Amazon PrivateLink 文档。如果 Amazon Web Service 支持端点策略,则其文档包含端点策略示例。
网关端点的主体
对于网关端点,您必须使用 aws:PrincipalArn
条件键向主体授予访问权限。
如果您使用以下格式之一指定主体,则访问权限只会授予 Amazon Web Services 账户根用户,而非该账户的所有用户和角色。
"AWS": "account_id
"
"AWS": "arn:aws:iam::account_id
:root"
如果您为主体指定 Amazon 资源名称(ARN),则保存策略时 ARN 将转换为唯一的主体 ID。
有关网关端点的端点策略示例,请参阅以下内容:
更新 VPC 端点策略
按照以下步骤更新 Amazon Web Service 的端点策略。在更新完端点策略后,您所做的更改可能需要几分钟才能生效。
使用控制台更新端点策略
通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/
。 -
在导航窗格中,选择 Endpoints(端点)。
-
选择 VPC 端点。
-
依次选择 Actions(操作)、Manage policy(管理策略)。
-
选择 Full Access(完全访问)以允许对服务进行完全访问,或者选择 Custom(自定义)并附加自定义策略。
-
选择 Save(保存)。
使用命令行更新端点策略
-
modify-vpc-endpoint (Amazon CLI)
-
Edit-EC2VpcEndpoint (Tools for Windows PowerShell)