VPC 终端节点和 VPC 终端节点服务的身份和访问管理 - Amazon Virtual Private Cloud
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

VPC 终端节点和 VPC 终端节点服务的身份和访问管理

使用 IAM 管理对 VPC 终端节点和 VPC 终端节点服务的访问。

控制 VPC 终端节点的使用

默认情况下,IAM 用户无权使用终端节点。您可以创建一个 IAM 用户策略,向用户授予创建、修改、描述和删除终端节点的权限。以下是示例。

{
    "Version": "2012-10-17",
    "Statement":[
        {
            "Effect": "Allow",
            "Action":"ec2:*VpcEndpoint*",
            "Resource":"*"
        }
    ]
}

有关使用 VPC 终端节点控制对服务的访问的信息,请参阅使用 VPC 终端节点控制对服务的访问权限

基于服务拥有者控制 VPC 终端节点创建

您可以使用 ec2:VpceServiceOwner 条件键根据服务拥有者(amazonaws-marketplace 或账户 ID)来控制可以创建的 VPC 终端节点。以下示例授予使用指定的服务拥有者创建 VPC 终端节点的权限。要使用此示例,请替换区域、账户 ID 和服务拥有者。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "ec2:CreateVpcEndpoint",
            "Resource": [
                "arn:aws:ec2:region:account-id:vpc/*",
                "arn:aws:ec2:region:account-id:security-group/*",
                "arn:aws:ec2:region:account-id:subnet/*",
                "arn:aws:ec2:region:account-id:route-table/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": "ec2:CreateVpcEndpoint",
            "Resource": [
                "arn:aws:ec2:region:account-id:vpc-endpoint/*"
            ],
            "Condition": {
                "StringEquals": {
                    "ec2:VpceServiceOwner": [
                        "amazon"
                    ]
                }
            }
        }
    ]
}
控制可为 VPC 终端节点服务指定的私有 DNS 名称

您可以使用 ec2:VpceServicePrivateDnsName 条件键来控制可根据与 VPC 终端节点服务关联的私有 DNS 名称修改或创建哪些 VPC 终端节点服务。以下示例授予使用指定的私有 DNS 名称创建 VPC 终端节点服务的权限。要使用此示例,请替换区域、账户 ID 和私有 DNS 名称。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:ModifyVpcEndpointServiceConfiguration",
                "ec2:CreateVpcEndpointServiceConfiguration"
            ],
            "Resource": [
                "arn:aws:ec2:region:account-id:vpc-endpoint-service/*"
            ],
            "Condition": {
                "StringEquals": {
                    "ec2:VpceServicePrivateDnsName": [
                        "example.com"
                    ]
                }
            }
        }
    ]
}
控制可为 VPC 终端节点服务指定的服务名称

您可以使用 ec2:VpceServiceName 条件键基于 VPC 终端节点服务名称来控制可以创建的 VPC 终端节点。以下示例授予使用指定的服务名称创建 VPC 终端节点的权限。要使用此示例,请替换区域、账户 ID 和服务名称。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "ec2:CreateVpcEndpoint",
            "Resource": [
                "arn:aws:ec2:region:account-id:vpc/*",
                "arn:aws:ec2:region:account-id:security-group/*",
                "arn:aws:ec2:region:account-id:subnet/*",
                "arn:aws:ec2:region:account-id:route-table/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": "ec2:CreateVpcEndpoint",
            "Resource": [
                "arn:aws:ec2:region:account-id:vpc-endpoint/*"
            ],
            "Condition": {
                "StringEquals": {
                    "ec2:VpceServiceName": [
                        "com.amazonaws.region.s3"
                    ]
                }
            }
        }
    ]
}