使用端点策略控制对 VPC 端点的访问 - Amazon Virtual Private Cloud
注意事项默认端点策略接口端点策略网关端点的主体更新 VPC 端点策略
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

使用端点策略控制对 VPC 端点的访问

端点策略是一种基于资源的策略,您可以将其附加到 VPC 端点来控制哪些 Amazon 主体能使用端点访问 Amazon Web Service。

端点策略不会覆盖或取代基于身份的策略或基于资源的策略。例如,如果您目前使用接口端点连接到 Amazon S3,则还可以使用 Amazon S3 存储桶策略来控制从特定端点或特定 VPC 对存储桶进行的访问。

注意事项

  • 端点策略是使用 IAM policy 语言的 JSON 策略文档。其中必须包含一个 Principal 元素。端点策略的大小不得超过 20480 个字符(包含空格)。

  • 为 Amazon Web Service 创建接口端点或网关端点时,您可以将单个端点策略附加到端点。您可以随时更新端点策略。如果您不附加端点策略,我们将附加默认端点策略

  • 并非所有 Amazon Web Services 都支持端点策略。如果 Amazon Web Service 不支持端点策略,则我们允许服务对任何端点进行完全访问。有关更多信息,请参阅查看端点策略支持

  • 当您为端点服务而非 Amazon Web Service 创建 VPC 端点时,我们允许对该端点进行完全访问。

默认端点策略

默认端点策略授予对端点的完全访问权限。

{
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": "*",
            "Action": "*",
            "Resource": "*"
        }
    ]
}

接口端点策略

有关 Amazon Web Services 的端点策略示例,请参阅 与 Amazon PrivateLink 集成的 Amazon Web Services。该表的第一列中包含每项 Amazon Web Service 的 Amazon PrivateLink 文档。如果 Amazon Web Service 支持端点策略,则其文档包含端点策略示例。

网关端点的主体

对于网关端点,您必须使用 aws:PrincipalArn 条件键向主体授予访问权限。

如果您使用以下格式之一指定主体,则访问权限只会授予 Amazon Web Services 账户根用户,而非该账户的所有用户和角色。

"AWS": "account_id"
"AWS": "arn:aws:iam::account_id:root"

如果您为主体指定 Amazon 资源名称(ARN),则保存策略时 ARN 将转换为唯一的主体 ID。

有关网关端点的端点策略示例,请参阅以下内容:

更新 VPC 端点策略

按照以下步骤更新 Amazon Web Service 的端点策略。在更新完端点策略后,您所做的更改可能需要几分钟才能生效。

使用控制台更新端点策略

  1. 通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/

  2. 在导航窗格中,选择 Endpoints(端点)。

  3. 选择 VPC 端点。

  4. 依次选择 Actions(操作)、Manage policy(管理策略)。

  5. 选择 Full Access(完全访问)以允许对服务进行完全访问,或者选择 Custom(自定义)并附加自定义策略。

  6. 选择 Save(保存)。

使用命令行更新端点策略