使用 VPC 终端节点 控制对服务的访问
在创建终端节点时,您可为其附加终端节点策略来控制对连接到的服务的访问。终端节点策略必须采用 JSON 格式编写。
如果您使用针对 Amazon S3 的终端节点,则还可以使用 Amazon S3 存储桶策略来控制从特定终端节点或特定 VPC 对存储桶进行的访问。有关更多信息,请参阅使用 Amazon S3 存储桶策略。
使用 VPC 终端节点 策略
VPC 终端节点策略是一种 IAM 资源策略,您在创建或修改终端节点时可将它附加到终端节点。如果您在创建终端节点时不附加策略,我们将为您附加一个默认策略来允许对服务进行完全访问。终端节点策略不会覆盖或取代 IAM 用户策略或服务特定策略 (如 S3 存储桶策略)。它是一个单独策略,用于控制从终端节点对指定服务进行的访问。
您不能将多个策略附加到一个终端节点;但您可以随时修改策略。请注意,如果您修改策略,则所做的更改可能需要几分钟才能生效。有关编写策略的更多信息,请参阅 IAM 用户指南 中的 IAM 策略概述。
您的终端节点策略可与任何 IAM 策略类似;但请注意以下几点:
-
仅与指定服务相关的策略部分将适用。不能使用终端节点策略来允许 VPC 中的资源执行其他操作;例如,如果您将 EC2 操作添加到针对 Amazon S3 的终端节点的终端节点策略,则这些操作将不会生效。
-
您的策略必须包含一个 Principal 元素。对于网关终端节点,如果您以格式
"AWS":"或AWS-account-ID""AWS":"arn:aws-cn:iam::指定委托人,则只会向 AWS 账户根用户授予访问权限,而不是该账户的所有 IAM 用户和角色。AWS-account-ID:root" -
终端节点策略的大小不得超过 20480 个字符 (包含空格)。
有关终端节点策略示例,请参阅以下主题:
-
将 VPC 终端节点用于 AWS CodeBuild。有关更多信息,请参阅 AWS CodeBuild 用户指南 中的使用 VPC 终端节点。
-
将 VPC 终端节点用于 AWS CodeCommit。有关更多信息,请参阅 AWS CodeCommit 用户指南 中的为 CodeCommit 创建 VPC 终端节点。
-
将 VPC 终端节点用于 Amazon SNS。有关更多信息,请参阅 Amazon Simple Notification Service 开发人员指南 中的为 Amazon SNS 创建 Amazon VPC 终端节点策略。
-
将 VPC 终端节点用于 Amazon SQS。有关更多信息,请参阅 Amazon Simple Queue Service 开发人员指南 中的为 Amazon SQS 创建 Amazon VPC 终端节点策略。
安全组
默认情况下,除非您明确限制出站访问,否则 Amazon VPC 安全组将允许所有出站流量。
创建接口终端节点时,您可以将安全组与在您的 VPC 中创建的终端节点网络接口关联。如果您未指定安全组,则您的 VPC 的默认安全组将自动与终端节点网络接口关联。您必须确保安全组的规则允许终端节点网络接口与您的 VPC 中与服务通信的资源进行通信。
对于网关终端节点,如果您的安全组的出站规则受到限制,则必须添加一条规则来允许从 VPC 到终端节点中指定的服务的出站流量。为此,您可以在出站规则中使用该服务的前缀列表 ID 作为目的地。有关更多信息,请参阅 修改您的安全组。