VPC 终端节点和 VPC 终端节点服务的身份和访问管理
使用 IAM 管理对 VPC 终端节点和 VPC 终端节点服务的访问。
控制 VPC 终端节点的使用
默认情况下,IAM 用户无权使用终端节点。您可以创建一个 IAM 用户策略,向用户授予创建、修改、描述和删除终端节点的权限。以下是示例。
{ "Version": "2012-10-17", "Statement":[ { "Effect": "Allow", "Action":"ec2:*VpcEndpoint*", "Resource":"*" } ] }
有关使用 VPC 终端节点控制对服务的访问的信息,请参阅使用 VPC 终端节点控制对服务的访问权限。
基于服务拥有者控制 VPC 终端节点创建
您可以使用 ec2:VpceServiceOwner
条件键根据服务拥有者(amazon
、aws-marketplace
或账户 ID)来控制可以创建的 VPC 终端节点。以下示例授予使用指定的服务拥有者创建 VPC 终端节点的权限。要使用此示例,请替换区域、账户 ID 和服务拥有者。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "ec2:CreateVpcEndpoint", "Resource": [ "arn:aws:ec2:
region
:account-id
:vpc/*", "arn:aws:ec2:region
:account-id
:security-group/*", "arn:aws:ec2:region
:account-id
:subnet/*", "arn:aws:ec2:region
:account-id
:route-table/*" ] }, { "Effect": "Allow", "Action": "ec2:CreateVpcEndpoint", "Resource": [ "arn:aws:ec2:region
:account-id
:vpc-endpoint/*" ], "Condition": { "StringEquals": { "ec2:VpceServiceOwner": [ "amazon
" ] } } } ] }
控制可为 VPC 终端节点服务指定的私有 DNS 名称
您可以使用 ec2:VpceServicePrivateDnsName
条件键来控制可根据与 VPC 终端节点服务关联的私有 DNS 名称修改或创建哪些 VPC 终端节点服务。以下示例授予使用指定的私有 DNS 名称创建 VPC 终端节点服务的权限。要使用此示例,请替换区域、账户 ID 和私有 DNS 名称。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:ModifyVpcEndpointServiceConfiguration", "ec2:CreateVpcEndpointServiceConfiguration" ], "Resource": [ "arn:aws:ec2:
region
:account-id
:vpc-endpoint-service/*" ], "Condition": { "StringEquals": { "ec2:VpceServicePrivateDnsName": [ "example.com
" ] } } } ] }
控制可为 VPC 终端节点服务指定的服务名称
您可以使用 ec2:VpceServiceName
条件键基于 VPC 终端节点服务名称来控制可以创建的 VPC 终端节点。以下示例授予使用指定的服务名称创建 VPC 终端节点的权限。要使用此示例,请替换区域、账户 ID 和服务名称。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "ec2:CreateVpcEndpoint", "Resource": [ "arn:aws:ec2:
region
:account-id
:vpc/*", "arn:aws:ec2:region
:account-id
:security-group/*", "arn:aws:ec2:region
:account-id
:subnet/*", "arn:aws:ec2:region
:account-id
:route-table/*" ] }, { "Effect": "Allow", "Action": "ec2:CreateVpcEndpoint", "Resource": [ "arn:aws:ec2:region
:account-id
:vpc-endpoint/*" ], "Condition": { "StringEquals": { "ec2:VpceServiceName": [ "com.amazonaws.region
.s3
" ] } } } ] }