Mengontrol akses ke layanan melalui titik akhir VPC - Integrasi terkelola untuk AWS IoT Device Management
Contoh kebijakan 1Contoh Kebijakan 2

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengontrol akses ke layanan melalui titik akhir VPC

Kebijakan titik akhir VPC adalah kebijakan sumber daya IAM yang Anda lampirkan ke titik akhir VPC antarmuka saat Anda membuat atau memodifikasi titik akhir. Jika Anda tidak melampirkan kebijakan ketika membuat titik akhir, kami melampirkan kebijakan default untuk Anda sehingga memungkinkan akses penuh ke layanan. Kebijakan titik akhir tidak membatalkan atau mengganti kebijakan pengguna IAM atau kebijakan khusus layanan. Ini adalah kebijakan terpisah untuk mengendalikan akses dari titik akhir ke layanan tertentu.

Kebijakan titik akhir harus ditulis dalam format JSON. Untuk informasi selengkapnya, lihat Mengendalikan Akses ke Layanan dengan Titik Akhir VPC dalam Panduan Pengguna VPC Amazon.

Contoh: Kebijakan titik akhir VPC untuk AWS IoT tindakan integrasi Terkelola

Berikut ini adalah contoh kebijakan endpoint untuk integrasi AWS IoT Terkelola. Kebijakan ini memungkinkan pengguna terhubung ke integrasi AWS IoT Terkelola melalui titik akhir VPC untuk mengakses tujuan tetapi menolak akses ke loker kredenal.

{
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": "*",
            "Action": [
                "iotmanagedintegrations:ListDestinations",
                "iotmanagedintegrations:GetDestination",
                "iotmanagedintegrations:CreateDestination",
                "iotmanagedintegrations:UpdateDestination",
                "iotmanagedintegrations:DeleteDestination"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Deny",
            "Principal": "*",
            "Action": [
                "iotmanagedintegrations:ListCredentialLockers",
                "iotmanagedintegrations:GetCredentialLocker",
                "iotmanagedintegrations:CreateCredentialLocker",
                "iotmanagedintegrations:UpdateCredentialLocker",
                "iotmanagedintegrations:DeleteCredentialLocker"
            ],
            "Resource": "*"
        }
    ]
}

Contoh: Kebijakan titik akhir VPC yang membatasi akses ke peran IAM tertentu

Kebijakan titik akhir VPC berikut memungkinkan akses ke integrasi AWS IoT Terkelola hanya untuk prinsipal IAM yang memiliki peran IAM tertentu dalam rantai kepercayaan mereka. Semua kepala sekolah IAM lainnya ditolak aksesnya.

{
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": "*",
            "Action": "*",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:PrincipalArn": "arn:aws:iam::123456789012:role/IoTManagedIntegrationsVPCRole"
                }
            }
        }
    ]
}