使用端点策略控制对 VPC 端点的访问 - Amazon Virtual Private Cloud
注意事项默认端点策略接口端点策略网关端点的主体更新 VPC 端点策略
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用端点策略控制对 VPC 端点的访问

终端节点策略是您附加到 VPC 终端节点的基于资源的策略,用于控制哪些 Amazon 委托人可以使用该终端节点访问。 Amazon Web Service

端点策略不会覆盖或取代基于身份的策略或基于资源的策略。例如,如果您目前使用接口端点连接到 Amazon S3,则还可以使用 Amazon S3 存储桶策略来控制从特定端点或特定 VPC 对存储桶进行的访问。

注意事项

  • 端点策略是使用 IAM policy 语言的 JSON 策略文档。其中必须包含一个 Principal 元素。端点策略的大小不得超过 20480 个字符(包含空格)。

  • 在为创建接口或网关终端节点时 Amazon Web Service,可以将单个终端节点策略附加到该终端节点。您可以随时更新端点策略。如果您不附加端点策略,我们将附加默认端点策略

  • 并非所有都 Amazon Web Services 支持端点策略。如果 Amazon Web Service 不支持终端节点策略,则我们允许对该服务的任何终端节点进行完全访问权限。有关更多信息,请参阅 查看端点策略支持

  • 当您为端点服务而非 Amazon Web Service创建 VPC 端点时,我们允许对该端点进行完全访问。

默认端点策略

默认端点策略授予对端点的完全访问权限。

{
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": "*",
            "Action": "*",
            "Resource": "*"
        }
    ]
}

接口端点策略

有关终端节点策略的示例 Amazon Web Services,请参阅Amazon Web Services 与之集成 Amazon PrivateLink。表中的第一列包含每个 Amazon PrivateLink 文档的链接 Amazon Web Service。如果 Amazon Web Service 支持端点策略,则其文档包括端点策略示例。

网关端点的主体

对于网关终端节点,必须将Principal元素设置为*。要指定委托人,请使用aws:PrincipalArn条件键。

"Condition": {
    "StringEquals": {
        "aws:PrincipalArn": "arn:aws:iam::123456789012:user/endpointuser"
    }
}

如果您按以下格式指定委托人,则 Amazon Web Services 账户根用户 只能向该账户的用户和角色授予访问权限,而非所有用户和角色。

"AWS": "account_id"

有关网关端点的端点策略示例,请参阅以下内容:

更新 VPC 端点策略

按照以下步骤更新 Amazon Web Service的端点策略。在更新完端点策略后,您所做的更改可能需要几分钟才能生效。

使用控制台更新端点策略

  1. 通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/

  2. 在导航窗格中,选择端点

  3. 选择 VPC 端点。

  4. 依次选择 Actions(操作)、Manage policy(管理策略)。

  5. 选择 Full Access(完全访问)以允许对服务进行完全访问,或者选择 Custom(自定义)并附加自定义策略。

  6. 选择保存

使用命令行更新端点策略