为您的终端节点服务添加和删除权限 - Amazon Virtual Private Cloud
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

为您的终端节点服务添加和删除权限

在创建终端节点服务配置后,您可以控制哪些服务使用者能够创建连接您服务的接口终端节点。服务使用者是 IAM 委托人 — IAM 用户、IAM 角色和 AWS 账户。要为委托人添加或删除权限,您需要其 Amazon 资源名称 (ARN)。

  • 对于 AWS 账户 (以及该账户中的所有委托人),ARN 的格式为 arn:aws:iam::aws-account-id:root

  • 对于特定的 IAM 用户,ARN 的格式为 arn:aws:iam::aws-account-id:user/user-name

  • 对于特定的 IAM 角色,ARN 的格式为 arn:aws:iam::aws-account-id:role/role-name

注意

如果您将权限设置为“任何人都可以访问”,并将接受模型设置为“接受所有请求”,则您刚已将 NLB 公开。由于获取 AWS 账户很容易,因此,即使您的 NLB 没有公有 IP 地址,对于谁可以访问该账户也没有实际限制。

Console

使用控制台添加或删除权限

  1. 打开 Amazon VPC 控制台 https://console.amazonaws.cn/vpc/

  2. 在导航窗格中,选择 Endpoint Services,然后选择您的终端节点服务。

  3. 选择 ActionsAdd principals to whitelist

  4. 指定要为其添加权限的委托人的 ARN。要添加更多委托人,请选择 Add principal。要删除委托人,请选择相应条目旁边的交叉图标。

    注意

    指定 * 可为所有委托人添加权限。这将使所有 AWS 账户中的所有委托人都能够创建到您终端节点服务的接口终端节点。

  5. 选择 Add to Whitelisted principals

  6. 要删除委托人,请在列表中选择该委托人,然后选择 Delete

AWS CLI

要为您的终端节点服务添加权限,请使用 modify-vpc-endpoint-service-permissions 命令并使用 --add-allowed-principals 参数为委托人添加一个或多个 ARN。 

aws ec2 modify-vpc-endpoint-service-permissions --service-id vpce-svc-03d5ebb7d9579a2b3 --add-allowed-principals '["arn:aws:iam::123456789012:root"]'

要查看您已为终端节点服务添加的权限,请使用 describe-vpc-endpoint-service-permissions 命令。 

aws ec2 describe-vpc-endpoint-service-permissions --service-id vpce-svc-03d5ebb7d9579a2b3
{
    "AllowedPrincipals": [
        {
            "PrincipalType": "Account", 
            "Principal": "arn:aws:iam::123456789012:root"
        }
    ]
}

要为您的终端节点服务删除权限,请使用 modify-vpc-endpoint-service-permissions 命令并使用 --remove-allowed-principals 参数为委托人删除一个或多个 ARN。 

aws ec2 modify-vpc-endpoint-service-permissions --service-id vpce-svc-03d5ebb7d9579a2b3 --remove-allowed-principals '["arn:aws:iam::123456789012:root"]'
适用于 Windows PowerShell 的 AWS 工具

使用 Edit-EC2EndpointServicePermission

API

使用 ModifyVpcEndpointServicePermissions