Considérations Politique de point de terminaison par défaut Politiques relatives aux points de terminaison d'interface Principaux pour les points de terminaison de passerelle Mise à jour d'une politique de point de terminaison d’un VPC

Utilisation des stratégies de point de terminaison pour contrôler l'accès à des points de terminaison d’un VPC

Une politique de point de terminaison est une politique basée sur les ressources que vous associez à un point de terminaison d'un VPC afin de contrôler quels principaux AWS peuvent utiliser le point de terminaison pour accéder à un Service AWS.

Une stratégie de point de terminaison n’annule ni ne remplace les politiques basées sur l'identité ni sur les ressources. Par exemple, si vous utilisez un point de terminaison d'interface pour vous connecter à Amazon S3, vous pouvez également utiliser les politiques de compartiment Amazon S3 pour contrôler l'accès aux compartiments depuis des points de terminaison ou des VPC spécifiques.

Table des matières

Considérations
Politique de point de terminaison par défaut
Politiques relatives aux points de terminaison d'interface
Principaux pour les points de terminaison de passerelle
Mise à jour d'une politique de point de terminaison d’un VPC

Considérations

Une politique de point de terminaison est un document de politique JSON qui utilise le langage de politique IAM. Elle doit contenir un élément Principal. La taille d'une politique de point de terminaison ne peut excéder 20 480 caractères, espaces blancs compris.
Lorsque vous créez une interface ou un point de terminaison de passerelle pour un Service AWS, vous pouvez associer une seule politique de point de terminaison à ce point de terminaison. Vous pouvez mettre à jour la politique de point de terminaison à tout moment. Si vous n'associez pas une politique de point de terminaison, nous associons la politique de point de terminaison par défaut.
Tous les Services AWS ne prennent pas en charge les politiques de point de terminaison. Si un Service AWS ne prend pas en charge les politiques de point de terminaison, nous autorisons un accès complet à tout point de terminaison pour le service. Pour de plus amples informations, veuillez consulter Afficher la prise en charge de stratégie de point de terminaison.
Lorsque vous créez un point de terminaison d'un VPC pour un service de point de terminaison autre qu'un Service AWS, nous autorisons un accès complet au point de terminaison.

Politique de point de terminaison par défaut

La politique de point de terminaison par défaut accorde un accès total au point de terminaison.


{
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": "*",
            "Action": "*",
            "Resource": "*"
        }
    ]
}

Politiques relatives aux points de terminaison d'interface

Pour obtenir des exemples de politiques de point de terminaison concernant Services AWS, consultez Services AWS qui s'intègrent à AWS PrivateLink. La première colonne du tableau contient des liens vers AWS PrivateLink la documentation de chaque Service AWS. Si un Service AWS prend en charge les politiques de point de terminaison, sa documentation comprend des exemples de politiques de point de terminaison.

Principaux pour les points de terminaison de passerelle

Avec les points de terminaison de passerelle, vous devez utiliser la clé de condition aws:PrincipalArn pour accorder l'accès à un principal.

Si vous spécifiez le principal dans l'un des formats suivants, l'accès est accordé à l'utilisateur root Utilisateur racine d'un compte AWS uniquement, et non à tous les utilisateurs et rôles du compte.


"AWS": "account_id"


"AWS": "arn:aws:iam::account_id:root"

Si vous spécifiez un Amazon Resource Name (ARN) pour le principal, l'ARN est transformé en un identifiant de principal unique lorsque la politique est enregistrée.

Pour obtenir des exemples de politiques de point de terminaison relatives aux points de terminaison de la passerelle, veuillez consulter ce qui suit :

Mise à jour d'une politique de point de terminaison d’un VPC

Utilisez la procédure suivante pour mettre à jour une politique de point de terminaison relative à un Service AWS. Après avoir mis à jour une politique de point de terminaison, il faut parfois quelques minutes pour que les changements prennent effet.

Pour mettre à jour une politique de point de terminaison à l'aide de la console

Ouvrez la console Amazon VPC à l’adresse https://console.aws.amazon.com/vpc/.
Dans le panneau de navigation, choisissez Points de terminaison.
Sélectionnez le point de terminaison d’un VPC.
Choisissez Actions, Manage policy (Gérer la politique).
Choisissez Full Access (Accès complet) pour autoriser un accès complet au service, ou choisissez Custom (Personnalisé) et joignez une politique personnalisée.
Choisissez Enregistrer.

Pour mettre à jour une politique de point de terminaison à l'aide de la ligne de commande

modify-vpc-endpoint (AWS CLI)
Edit-EC2VpcEndpoint (Outils pour Windows PowerShell)

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Exemples de politiques basées sur l'identité

Métriques CloudWatch