Kontrol penggunaan titik VPC akhir Kontrol pembuatan VPC titik akhir berdasarkan pemilik layanan Kontrol DNS nama pribadi yang dapat ditentukan untuk layanan VPC endpoint Mengontrol nama layanan yang dapat ditentukan untuk layanan VPC endpoint

Contoh kebijakan berbasis identitas untuk AWS PrivateLink

Secara default, pengguna dan peran tidak memiliki izin untuk membuat atau memodifikasi AWS PrivateLink sumber daya. Mereka juga tidak dapat melakukan tugas dengan menggunakan AWS Management Console, AWS Command Line Interface (AWS CLI), atau AWS API. Untuk memberikan izin kepada pengguna untuk melakukan tindakan pada sumber daya yang mereka butuhkan, IAM administrator dapat membuat IAM kebijakan. Administrator kemudian dapat menambahkan IAM kebijakan ke peran, dan pengguna dapat mengambil peran.

Untuk mempelajari cara membuat kebijakan IAM berbasis identitas menggunakan contoh dokumen kebijakan ini, lihat Membuat JSON IAM kebijakan di Panduan Pengguna. IAM

Untuk detail tentang tindakan dan jenis sumber daya yang ditentukan oleh AWS PrivateLink, termasuk format ARNs untuk setiap jenis sumber daya, lihat Kunci tindakan, sumber daya, dan kondisi untuk Amazon EC2 di Referensi Otorisasi Layanan.

Contoh

Kontrol penggunaan titik VPC akhir
Kontrol pembuatan VPC titik akhir berdasarkan pemilik layanan
Kontrol DNS nama pribadi yang dapat ditentukan untuk layanan VPC endpoint
Mengontrol nama layanan yang dapat ditentukan untuk layanan VPC endpoint

Kontrol penggunaan titik VPC akhir

Secara default, pengguna tidak memiliki izin untuk bekerja dengan titik akhir. Anda dapat membuat kebijakan berbasis identitas yang memberikan izin kepada pengguna untuk membuat, memodifikasi, mendeskripsikan, dan menghapus titik akhir. Berikut adalah contohnya.


{
    "Version": "2012-10-17",
    "Statement":[
        {
            "Effect": "Allow",
            "Action":"ec2:*VpcEndpoint*",
            "Resource":"*"
        }
    ]
}

Untuk informasi tentang mengontrol akses ke layanan menggunakan VPC titik akhir, lihatKontrol akses ke titik akhir VPC menggunakan kebijakan titik akhir.

Kontrol pembuatan VPC titik akhir berdasarkan pemilik layanan

Anda dapat menggunakan tombol ec2:VpceServiceOwner kondisi untuk mengontrol VPC titik akhir apa yang dapat dibuat berdasarkan siapa yang memiliki layanan (amazon,aws-marketplace, atau ID akun). Contoh berikut memberikan izin untuk membuat VPC titik akhir dengan pemilik layanan tertentu. Untuk menggunakan contoh ini, ganti Wilayah, ID akun, dan pemilik layanan.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "ec2:CreateVpcEndpoint",
            "Resource": [
                "arn:aws:ec2:region:account-id:vpc/*",
                "arn:aws:ec2:region:account-id:security-group/*",
                "arn:aws:ec2:region:account-id:subnet/*",
                "arn:aws:ec2:region:account-id:route-table/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": "ec2:CreateVpcEndpoint",
            "Resource": [
                "arn:aws:ec2:region:account-id:vpc-endpoint/*"
            ],
            "Condition": {
                "StringEquals": {
                    "ec2:VpceServiceOwner": [
                        "amazon"
                    ]
                }
            }
        }
    ]
}

Kontrol DNS nama pribadi yang dapat ditentukan untuk layanan VPC endpoint

Anda dapat menggunakan tombol ec2:VpceServicePrivateDnsName kondisi untuk mengontrol layanan VPC endpoint apa yang dapat dimodifikasi atau dibuat berdasarkan DNS nama pribadi yang terkait dengan layanan VPC endpoint. Contoh berikut memberikan izin untuk membuat layanan VPC endpoint dengan nama pribadi DNS yang ditentukan. Untuk menggunakan contoh ini, ganti Wilayah, ID akun, dan DNS nama pribadi.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:ModifyVpcEndpointServiceConfiguration",
                "ec2:CreateVpcEndpointServiceConfiguration"
            ],
            "Resource": [
                "arn:aws:ec2:region:account-id:vpc-endpoint-service/*"
            ],
            "Condition": {
                "StringEquals": {
                    "ec2:VpceServicePrivateDnsName": [
                        "example.com"
                    ]
                }
            }
        }
    ]
}

Mengontrol nama layanan yang dapat ditentukan untuk layanan VPC endpoint

Anda dapat menggunakan tombol ec2:VpceServiceName kondisi untuk mengontrol VPC titik akhir apa yang dapat dibuat berdasarkan nama layanan VPC endpoint. Contoh berikut memberikan izin untuk membuat VPC titik akhir dengan nama layanan yang ditentukan. Untuk menggunakan contoh ini, ganti Wilayah, ID akun, dan nama layanan.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "ec2:CreateVpcEndpoint",
            "Resource": [
                "arn:aws:ec2:region:account-id:vpc/*",
                "arn:aws:ec2:region:account-id:security-group/*",
                "arn:aws:ec2:region:account-id:subnet/*",
                "arn:aws:ec2:region:account-id:route-table/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": "ec2:CreateVpcEndpoint",
            "Resource": [
                "arn:aws:ec2:region:account-id:vpc-endpoint/*"
            ],
            "Condition": {
                "StringEquals": {
                    "ec2:VpceServiceName": [
                        "com.amazonaws.region.s3"
                    ]
                }
            }
        }
    ]
}

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Bagaimana AWS PrivateLink bekerja dengan IAM

Kebijakan titik akhir