本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
使用端点策略控制对 VPC 端点的访问
终端节点策略是您附加到 VPC 终端节点的基于资源的策略,用于控制哪些 Amazon 委托人可以使用该终端节点访问。 Amazon Web Services 服务
端点策略不会覆盖或取代基于身份的策略或基于资源的策略。例如,如果您使用接口终端节点连接到 Amazon S3,则还可以使用 Amazon S3 存储桶策略来控制从特定终端节点或特定 VPCs终端节点访问存储桶。
注意事项
-
端点策略是使用 IAM policy 语言的 JSON 策略文档。其中必须包含一个 Principal 元素。端点策略的大小不得超过 20480 个字符(包含空格)。
-
在为创建接口或网关终端节点时 Amazon Web Services 服务,可以将单个终端节点策略附加到该终端节点。您可以随时更新端点策略。如果您不附加端点策略,我们将附加默认端点策略。
-
并非所有都 Amazon Web Services 服务 支持端点策略。如果 Amazon Web Services 服务 不支持终端节点策略,则我们允许对该服务的任何终端节点进行完全访问权限。有关更多信息,请参阅 查看端点策略支持。
-
当您为端点服务而非 Amazon Web Services 服务创建 VPC 端点时,我们允许对该端点进行完全访问。
-
对于引用系统生成的标识符的全局上下文键(例如,
aws:PrincipalAccount或aws:SourceVpc),您不能使用通配符 (* or ?) 或数字条件运算符。 -
使用字符串条件运算符时,您必须在每个通配符之前或之后使用至少六个连续字符。
-
当您在资源或条件元素中指定 ARN 时,ARN 的账户部分可以包含账户 ID 或通配符,但不能同时包含两者。
-
在更新完端点策略后,您所做的更改可能需要几分钟才能生效。
默认端点策略
默认端点策略授予对端点的完全访问权限。
{ "Statement": [ { "Effect": "Allow", "Principal": "*", "Action": "*", "Resource": "*" } ] }
接口端点策略
有关终端节点策略的示例 Amazon Web Services 服务,请参阅Amazon Web Services 服务 与之集成 Amazon PrivateLink。表中的第一列包含每个 Amazon PrivateLink 文档的链接 Amazon Web Services 服务。如果 Amazon Web Services 服务 支持端点策略,则其文档包括端点策略示例。
网关端点的主体
对于网关端点,必须将 Principal 元素设置为 *。要指定主体,请使用 aws:PrincipalArn 条件键。
"Condition": { "StringEquals": { "aws:PrincipalArn": "arn:aws:iam::123456789012:user/endpointuser" } }
如果您使用以下格式指定主体,则访问权限只会授予 Amazon Web Services 账户根用户 ,而非该账户的所有用户和角色。
"AWS": "account_id"
有关网关端点的端点策略示例,请参阅以下内容:
更新 VPC 端点策略
按照以下步骤更新 Amazon Web Services 服务的端点策略。在更新完端点策略后,您所做的更改可能需要几分钟才能生效。
使用控制台更新端点策略
打开位于 https://console.aws.amazon.com/vpc/
的 Amazon VPC 控制台。 -
在导航窗格中,选择端点。
-
选择 VPC 端点。
-
依次选择 Actions(操作)、Manage policy(管理策略)。
-
选择 Full Access(完全访问)以允许对服务进行完全访问,或者选择 Custom(自定义)并附加自定义策略。
-
选择保存。
使用命令行更新端点策略
-
modify-vpc-endpoint
(Amazon CLI) -
Edit-EC2VpcEndpoint(适用于 Windows 的工具 PowerShell)