Beispiele für identitätsbasierte Richtlinien für AWS PrivateLink - Amazon Virtual Private Cloud
Steuern Sie die Verwendung von VPC EndpunktenSteuern Sie die Erstellung von VPC Endpunkten auf der Grundlage des DienstbesitzersSteuern Sie die privaten DNS Namen, die für VPC Endpunktdienste angegeben werden können Steuern Sie die Dienstnamen, die für VPC Endpunktdienste angegeben werden können

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Beispiele für identitätsbasierte Richtlinien für AWS PrivateLink

Benutzer und Rollen haben standardmäßig nicht die Berechtigung, AWS PrivateLink -Ressourcen zu erstellen oder zu ändern. Sie können auch keine Aufgaben mithilfe von AWS Management Console, AWS Command Line Interface (AWS CLI) oder ausführen AWS API. Um Benutzern die Berechtigung zu erteilen, Aktionen mit den Ressourcen durchzuführen, die sie benötigen, kann ein IAM Administrator IAM Richtlinien erstellen. Der Administrator kann dann die IAM Richtlinien zu Rollen hinzufügen, und Benutzer können die Rollen übernehmen.

Informationen zum Erstellen einer IAM identitätsbasierten Richtlinie anhand dieser JSON Beispieldokumente finden Sie unter IAMRichtlinien erstellen im IAMBenutzerhandbuch.

Einzelheiten zu Aktionen und Ressourcentypen, die von definiert wurden AWS PrivateLink, einschließlich des Formats von ARNs für jeden der Ressourcentypen, finden Sie unter Aktionen, Ressourcen und Bedingungsschlüssel für Amazon EC2 in der Service Authorization Reference.

Steuern Sie die Verwendung von VPC Endpunkten

Standardmäßig haben -Benutzer keine Berechtigungen zum Arbeiten mit Endpunkten. Sie können eine identitätsbasierte Richtlinie erstellen, die Benutzern die Berechtigung zum Erstellen, Ändern, Beschreiben und Löschen von Endpunkten erteilt. Im Folgenden wird ein Beispiel gezeigt.

{
    "Version": "2012-10-17",
    "Statement":[
        {
            "Effect": "Allow",
            "Action":"ec2:*VpcEndpoint*",
            "Resource":"*"
        }
    ]
}

Hinweise zur Steuerung des Zugriffs auf Dienste mithilfe von VPC Endpunkten finden Sie unter. Steuern des Zugriffs auf VPC-Endpunkte mithilfe von Endpunktrichtlinien

Steuern Sie die Erstellung von VPC Endpunkten auf der Grundlage des Dienstbesitzers

Sie können den ec2:VpceServiceOwner Bedingungsschlüssel verwenden, um zu steuern, welcher VPC Endpunkt basierend darauf erstellt werden kann, wem der Dienst gehört (amazon,aws-marketplace, oder die Konto-ID). Das folgende Beispiel erteilt die Erlaubnis, VPC Endpoints mit dem angegebenen Dienstbesitzer zu erstellen. Um dieses Beispiel zu verwenden, ersetzen Sie die Region, die Konto-ID und den Servicebesitzer.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "ec2:CreateVpcEndpoint",
            "Resource": [
                "arn:aws:ec2:region:account-id:vpc/*",
                "arn:aws:ec2:region:account-id:security-group/*",
                "arn:aws:ec2:region:account-id:subnet/*",
                "arn:aws:ec2:region:account-id:route-table/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": "ec2:CreateVpcEndpoint",
            "Resource": [
                "arn:aws:ec2:region:account-id:vpc-endpoint/*"
            ],
            "Condition": {
                "StringEquals": {
                    "ec2:VpceServiceOwner": [
                        "amazon"
                    ]
                }
            }
        }
    ]
}

Steuern Sie die privaten DNS Namen, die für VPC Endpunktdienste angegeben werden können

Sie können den ec2:VpceServicePrivateDnsName Bedingungsschlüssel verwenden, um zu steuern, welcher VPC Endpunktdienst auf der Grundlage des privaten DNS Namens, der dem VPC Endpunktdienst zugeordnet ist, geändert oder erstellt werden kann. Das folgende Beispiel erteilt die Erlaubnis, einen VPC Endpunktdienst mit dem angegebenen privaten DNS Namen zu erstellen. Um dieses Beispiel zu verwenden, ersetzen Sie die Region, die Konto-ID und den privaten DNS Namen.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:ModifyVpcEndpointServiceConfiguration",
                "ec2:CreateVpcEndpointServiceConfiguration"
            ],
            "Resource": [
                "arn:aws:ec2:region:account-id:vpc-endpoint-service/*"
            ],
            "Condition": {
                "StringEquals": {
                    "ec2:VpceServicePrivateDnsName": [
                        "example.com"
                    ]
                }
            }
        }
    ]
}

Steuern Sie die Dienstnamen, die für VPC Endpunktdienste angegeben werden können

Sie können den ec2:VpceServiceName Bedingungsschlüssel verwenden, um zu steuern, welcher VPC Endpunkt auf der Grundlage des VPC Endpunktdienstnamens erstellt werden kann. Das folgende Beispiel erteilt die Erlaubnis, einen VPC Endpunkt mit dem angegebenen Dienstnamen zu erstellen. Um dieses Beispiel zu verwenden, ersetzen Sie die Region, die Konto-ID und den Servicenamen.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "ec2:CreateVpcEndpoint",
            "Resource": [
                "arn:aws:ec2:region:account-id:vpc/*",
                "arn:aws:ec2:region:account-id:security-group/*",
                "arn:aws:ec2:region:account-id:subnet/*",
                "arn:aws:ec2:region:account-id:route-table/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": "ec2:CreateVpcEndpoint",
            "Resource": [
                "arn:aws:ec2:region:account-id:vpc-endpoint/*"
            ],
            "Condition": {
                "StringEquals": {
                    "ec2:VpceServiceName": [
                        "com.amazonaws.region.s3"
                    ]
                }
            }
        }
    ]
}