Contrôler l'accès aux services avec les points de terminaison d'un VPC - Amazon Virtual Private Cloud

Contrôler l'accès aux services avec les points de terminaison d'un VPC

Quand vous créez un point de terminaison d’interface ou de passerelle, vous pouvez lui attacher une stratégie de point de terminaison qui contrôle l’accès au service auquel vous vous connectez. Les stratégies de point de terminaison doivent être écrites au format JSON. Tous les services ne prennent pas en charge les stratégies de point de terminaison.

Si vous utilisez un point de terminaison pour Amazon S3, vous pouvez également utiliser des stratégies de compartiment Amazon S3 afin de contrôler l'accès aux compartiments depuis des points de terminaison ou des VPC spécifiques. Pour plus d'informations, consultez Stratégies de compartiment Amazon S3.

Utiliser les stratégies de point de terminaison d'un VPC

Une stratégie de point de terminaison d’un VPC est une stratégie de ressource IAM que vous attachez à un point de terminaison lorsque vous le créez ou le modifiez. Si vous n'attachez pas de stratégie quand vous créez un point de terminaison, nous lui attachons une stratégie par défaut pour vous qui autorise un accès total au service. Si un service ne prend pas en charge les stratégies de point de terminaison, le point de terminaison permet un accès complet au service. Une stratégie de point de terminaison n'annule pas et ne remplace pas les stratégies utilisateur IAM ou les stratégies propres à des services comme par exemple, les stratégies de compartiment S3. Il s'agit d'une politique séparée qui contrôle l'accès depuis le point de terminaison jusqu'au service spécifié.

Vous ne pouvez pas attacher plus d'une stratégie à un point de terminaison. Toutefois, vous pouvez modifier la stratégie à tout moment. Si vous modifiez une stratégie, il peut se passer quelques minutes avant que les changements ne prennent effet. Pour de plus amples informations sur l'écriture des stratégies, veuillez consulter Présentation des stratégies IAM dans le Guide de l’utilisateur IAM.

Votre stratégie de point de terminaison peut être comme n'importe quelle autre stratégie IAM cependant, veuillez noter ce qui suit :

Pour de plus amples informations sur les services qui prennent en charge les stratégies de point de terminaison, veuillez consulter Services AWS qui s'intègrent avec AWS PrivateLink.

Stratégies de point de terminaison pour les points de terminaison de passerelle

Pour les stratégies de point de terminaison appliquées à des points de terminaison de passerelle, si vous spécifiez Principal au format "AWS":"account-ID" ou "AWS":"arn:aws:iam::account-ID:root", l'accès est accordé uniquement à l'utilisateur racine du compte et non à tous les utilisateurs et rôles IAM de ce compte.

Si vous spécifiez un Amazon Resource Name (ARN) pour l'élément Principal, l'ARN devient un ID du mandataire unique lorsque la stratégie est enregistrée.

Pour des exemples de stratégies de point de terminaison relatif à Amazon S3 et DynamoDB, veuillez consulter les rubriques suivantes :

Groupes de sécurité

Lorsque vous créez un point de terminaison d'interface, vous pouvez associer les groupes de sécurité à l'interface réseau de point de terminaison créée dans votre VPC. Si vous ne spécifiez pas un groupe de sécurité, le groupe de sécurité par défaut de votre VPC est automatiquement associé à l'interface réseau du point de terminaison. Vous devez vous assurer que les règles du groupe de sécurité autorisent la communication entre l'interface réseau du point de terminaison et les ressources de votre VPC qui communiquent avec le service.

Pour un point de terminaison de passerelle, si les règles sortantes de votre groupe de sécurité sont restreintes, vous devez ajouter une règle qui autorise le trafic sortant depuis votre VPC vers le service spécifié dans votre point de terminaison. Pour ce faire, vous pouvez utiliser l'ID de liste de préfixes AWS du service comme destination dans la règle de trafic sortant. Pour plus d'informations, consultez Modifier votre groupe de sécurité.

Les groupes de sécurité ne s’appliquent pas aux points de terminaison d’équilibreur de charge de passerelle.