适用于 VPC 终端节点和 VPC 终端节点服务的 Identity and Access Management - Amazon Virtual Private Cloud
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

适用于 VPC 终端节点和 VPC 终端节点服务的 Identity and Access Management

使用 IAM 管理对 VPC 终端节点 和 VPC 终端节点 服务的访问。

控制对 VPC 终端节点的使用

默认情况下,IAM 用户无权使用终端节点。您可以创建一个 IAM 用户策略,向用户授予创建、修改、描述和删除终端节点的权限。以下是示例。

{ "Version": "2012-10-17", "Statement":[{ "Effect":"Allow", "Action":"ec2:*VpcEndpoint*", "Resource":"*" } ] }

有关使用 VPC 终端节点控制对服务的访问的信息,请参阅使用 VPC 终端节点 控制对服务的访问

基于服务拥有者控制 VPC 终端节点 创建

您可以使用 ec2:VpceServiceOwner 条件键根据服务拥有者(amazonaws-marketplaceaws-account-id)来控制可以创建的 VPC 终端节点。在以下示例中,您只能在服务拥有者为 amazon 时创建 VPC 终端节点。要使用此示例,请替换账户 ID、服务拥有者和区域(除非您位于 us-east-1 区域)。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "ec2:CreateVpcEndpoint", "Resource": [ "arn:aws:ec2:us-east-1:accountId:vpc-endpoint/*" ], "Condition": { "StringEquals": { "ec2:VpceServiceOwner": [ "amazon" ] } } } ] }

控制可为 VPC 终端节点服务指定的私有 DNS 名称

您可以使用 ec2:VpceServicePrivateDnsName 条件键来控制可根据与 VPC 终端节点服务关联的私有 DNS 名称修改或创建哪些 VPC 终端节点服务。在以下示例中,只有在私有 DNS 名称为 example.com 时,才能创建 VPC 终端节点 服务。要使用此示例,请替换账户 ID、私有 DNS 名称和区域(除非您在 us-east-1 区域中)。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:ModifyVpcEndpointServiceConfiguration", "ec2:CreateVpcEndpointServiceConfiguration" ], "Resource": [ "arn:aws:ec2:us-east-1:accountId:vpc-endpoint-service/*" ], "Condition": { "StringEquals": { "ec2:VpceServicePrivateDnsName": [ "example.com" ] } } } ] }

控制可为 VPC 终端节点服务指定的服务名称

您可以使用 ec2:VpceServiceName 条件键基于 VPC 终端节点服务名称来控制可以创建的 VPC 终端节点。在以下示例中,只能在服务名称为 com.amazonaws.us-east-1.s3 时创建 VPC 终端节点。要使用此示例,请替换账户 ID、服务名称和区域(除非您位于 us-east-1 区域)。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "ec2:CreateVpcEndpoint", "Resource": [ "arn:aws:ec2:us-east-1:accountId:vpc-endpoint/*" ], "Condition": { "StringEquals": { "ec2:VpceServiceName": [ "com.amazonaws.us-east-1.s3" ] } } } ] }