Contrôle de l'accès aux services via les points de terminaison VPC - Intégrations gérées pour AWS IoT Device Management
Exemple de politique 1Exemple de politique 2

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Contrôle de l'accès aux services via les points de terminaison VPC

Une politique de point de terminaison VPC est une politique de ressources IAM que vous attachez à un point de terminaison VPC d'interface lorsque vous créez ou modifiez le point de terminaison. Si vous ne définissez pas de politique lorsque vous créez un point de terminaison, nous définissons une politique par défaut pour vous, qui autorise un accès total au service. Une stratégie de point de terminaison n'annule pas et ne remplace pas les stratégies utilisateur IAM ou les stratégies propres au service. Il s'agit d'une politique distincte qui contrôle l'accès depuis le point de terminaison jusqu'au service spécifié.

Les politiques de point de terminaison doivent être écrites au format JSON. Pour de plus amples informations, veuillez consulter Contrôle de l'accès aux services avec points de terminaison d'un VPC dans le Amazon VPC Guide de l'utilisateur.

Exemple : politique de point de terminaison VPC pour les actions d'intégrations AWS IoT gérées

Voici un exemple de politique de point de terminaison pour les intégrations AWS IoT gérées. Cette politique permet aux utilisateurs qui se connectent à des intégrations AWS IoT gérées via le point de terminaison VPC d'accéder à des destinations, mais refuse l'accès aux casiers d'informations d'identification.

{
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": "*",
            "Action": [
                "iotmanagedintegrations:ListDestinations",
                "iotmanagedintegrations:GetDestination",
                "iotmanagedintegrations:CreateDestination",
                "iotmanagedintegrations:UpdateDestination",
                "iotmanagedintegrations:DeleteDestination"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Deny",
            "Principal": "*",
            "Action": [
                "iotmanagedintegrations:ListCredentialLockers",
                "iotmanagedintegrations:GetCredentialLocker",
                "iotmanagedintegrations:CreateCredentialLocker",
                "iotmanagedintegrations:UpdateCredentialLocker",
                "iotmanagedintegrations:DeleteCredentialLocker"
            ],
            "Resource": "*"
        }
    ]
}

Exemple : politique de point de terminaison VPC qui restreint l'accès à un rôle IAM spécifique

La politique de point de terminaison VPC suivante autorise l'accès aux intégrations AWS IoT gérées uniquement aux principaux IAM qui ont le rôle IAM spécifié dans leur chaîne de confiance. Tous les autres principaux IAM se voient refuser l'accès.

{
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": "*",
            "Action": "*",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:PrincipalArn": "arn:aws:iam::123456789012:role/IoTManagedIntegrationsVPCRole"
                }
            }
        }
    ]
}