VPC 终端节点和 VPC 终端节点服务的身份和访问管理 - Amazon Virtual Private Cloud
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

VPC 终端节点和 VPC 终端节点服务的身份和访问管理

使用 IAM 管理对 VPC 终端节点和 VPC 终端节点服务的访问。

控制 VPC 终端节点的使用

默认情况下,IAM 用户无权使用终端节点。您可以创建一个 IAM 用户策略,向用户授予创建、修改、描述和删除终端节点的权限。以下是示例。

{ "Version": "2012-10-17", "Statement":[{ "Effect":"Allow", "Action":"ec2:*VpcEndpoint*", "Resource":"*" } ] }

有关使用 VPC 终端节点控制对服务的访问的信息,请参阅使用 VPC 终端节点控制对服务的访问权限

基于服务拥有者控制 VPC 终端节点创建

您可以使用 ec2:VpceServiceOwner 条件键根据服务拥有者(amazonaws-marketplace 或账户 ID)来控制可以创建的 VPC 终端节点。在以下示例中,您只能在服务拥有者为 amazon 时创建 VPC 终端节点。要使用此示例,请替换账户 ID、服务拥有者和区域(除非您位于 us-east-1 区域)。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "ec2:CreateVpcEndpoint", "Resource": [ "arn:aws:ec2:us-east-1:accountId:vpc-endpoint/*" ], "Condition": { "StringEquals": { "ec2:VpceServiceOwner": [ "amazon" ] } } } ] }

控制可为 VPC 终端节点服务指定的私有 DNS 名称

您可以使用 ec2:VpceServicePrivateDnsName 条件键来控制可根据与 VPC 终端节点服务关联的私有 DNS 名称修改或创建哪些 VPC 终端节点服务。在以下示例中,只有在私有 DNS 名称为 example.com 时,才能创建 VPC 终端节点服务。要使用此示例,请替换账户 ID、私有 DNS 名称和区域(除非您在 us-east-1 区域中)。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:ModifyVpcEndpointServiceConfiguration", "ec2:CreateVpcEndpointServiceConfiguration" ], "Resource": [ "arn:aws:ec2:us-east-1:accountId:vpc-endpoint-service/*" ], "Condition": { "StringEquals": { "ec2:VpceServicePrivateDnsName": [ "example.com" ] } } } ] }

控制可为 VPC 终端节点服务指定的服务名称

您可以使用 ec2:VpceServiceName 条件键基于 VPC 终端节点服务名称来控制可以创建的 VPC 终端节点。在以下示例中,只能在服务名称为 com.amazonaws.us-east-1.s3 时创建 VPC 终端节点。要使用此示例,请替换账户 ID、服务名称和区域(除非您位于 us-east-1 区域)。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "ec2:CreateVpcEndpoint", "Resource": [ "arn:aws:ec2:us-east-1:accountId:vpc-endpoint/*" ], "Condition": { "StringEquals": { "ec2:VpceServiceName": [ "com.amazonaws.us-east-1.s3" ] } } } ] }