Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Gestione delle identità e degli accessi per il VPC peering
Per impostazione predefinita, gli utenti non possono creare o modificare connessioni VPC peering. Per concedere l'accesso alle risorse VPC di peering, allega una IAM policy a un'IAMidentità, ad esempio un ruolo.
Esempi
Per un elenco delle VPC azioni Amazon e le risorse e le chiavi delle condizioni supportate per ciascuna azione, consulta Azioni, risorse e chiavi di condizione per Amazon EC2 nel Service Authorization Reference.
Esempio: creare una connessione VPC peering
La seguente politica concede agli utenti l'autorizzazione a creare richieste di connessione VPC peering utilizzando VPCs quelle contrassegnate con. Purpose=Peering La prima istruzione applica una chiave di condizione (ec2:ResourceTag) alla VPC risorsa. Nota che la VPC risorsa per l'CreateVpcPeeringConnectionazione è sempre il richiedente. VPC
La seconda istruzione concede agli utenti l'autorizzazione a creare le risorse della connessione VPC peering e pertanto utilizza il carattere jolla* al posto di un ID di risorsa specifico.
{ "Version": "2012-10-17", "Statement":[ { "Effect":"Allow", "Action": "ec2:CreateVpcPeeringConnection", "Resource": "arn:aws:ec2:region:account-id:vpc/*", "Condition": { "StringEquals": { "ec2:ResourceTag/Purpose": "Peering" } } }, { "Effect": "Allow", "Action": "ec2:CreateVpcPeeringConnection", "Resource": "arn:aws:ec2:region:account-id:vpc-peering-connection/*" } ] }
La seguente politica concede agli utenti dell' AWS account specificato l'autorizzazione a creare connessioni VPC peering utilizzando qualsiasi connessione VPC nella regione specificata, ma solo se la persona VPC che accetta la connessione peering è una connessione specifica in un account specifico. VPC
{ "Version": "2012-10-17", "Statement": [ { "Effect":"Allow", "Action": "ec2:CreateVpcPeeringConnection", "Resource": "arn:aws:ec2:region:account-id-1:vpc/*" }, { "Effect": "Allow", "Action": "ec2:CreateVpcPeeringConnection", "Resource": "arn:aws:ec2:region:account-id-1:vpc-peering-connection/*", "Condition": { "ArnEquals": { "ec2:AccepterVpc": "arn:aws:ec2:region:account-id-2:vpc/vpc-id" } } } ] }
Esempio: accetta una connessione peering VPC
La seguente politica concede agli utenti l'autorizzazione ad accettare richieste di connessione VPC peering da un account specifico. AWS Questo aiuta a impedire agli utenti di accettare richieste di connessione VPC peering da account sconosciuti. L'istruzione utilizza la chiave di condizione ec2:RequesterVpc per imporre ciò.
{ "Version": "2012-10-17", "Statement":[ { "Effect":"Allow", "Action": "ec2:AcceptVpcPeeringConnection", "Resource": "arn:aws:ec2:region:account-id-1:vpc-peering-connection/*", "Condition": { "ArnEquals": { "ec2:RequesterVpc": "arn:aws:ec2:region:account-id-2:vpc/*" } } } ] }
La seguente politica concede agli utenti il permesso di accettare richieste di VPC peering se VPC hanno il tag. Purpose=Peering
{ "Version": "2012-10-17", "Statement":[ { "Effect": "Allow", "Action": "ec2:AcceptVpcPeeringConnection", "Resource": "arn:aws:ec2:region:account-id:vpc/*", "Condition": { "StringEquals": { "ec2:ResourceTag/Purpose": "Peering" } } } ] }
Esempio: eliminare una connessione peering VPC
La seguente politica concede agli utenti dell'account specificato l'autorizzazione a eliminare qualsiasi connessione VPC peering, ad eccezione di quelli che utilizzano l'account specificatoVPC, che si trova nello stesso account. La policy specifica sia la chiave che la ec2:AccepterVpc chiave di ec2:RequesterVpc condizione, in quanto VPC potrebbe essere stato il richiedente VPC o il peer VPC nella richiesta di connessione peering originale. VPC
{ "Version": "2012-10-17", "Statement": [ { "Effect":"Allow", "Action": "ec2:DeleteVpcPeeringConnection", "Resource": "arn:aws:ec2:region:account-id:vpc-peering-connection/*", "Condition": { "ArnNotEquals": { "ec2:AccepterVpc": "arn:aws:ec2:region:account-id:vpc/vpc-id", "ec2:RequesterVpc": "arn:aws:ec2:region:account-id:vpc/vpc-id" } } } ] }
Esempio: operazioni all'interno di un account specifico
La seguente politica concede agli utenti il permesso di lavorare con connessioni VPC peering all'interno di un account specifico. Gli utenti possono visualizzare, creare, accettare, rifiutare ed eliminare le connessioni VPC peering, a condizione che si trovino tutti all'interno dello stesso account. AWS
La prima istruzione concede agli utenti il permesso di visualizzare tutte le VPC connessioni peering. L'Resourceelemento richiede un carattere jolly * in questo caso, poiché questa API azione (DescribeVpcPeeringConnections) attualmente non supporta le autorizzazioni a livello di risorsa.
La seconda istruzione concede agli utenti il permesso di creare connessioni VPC peering e l'accesso a tutti gli utenti dell'account specificato a VPCs tal fine.
La terza istruzione utilizza un carattere jolly * come parte dell'Actionelemento per concedere l'autorizzazione per tutte le azioni di connessione VPC peering. I tasti condizionali assicurano che le azioni possano essere eseguite solo su connessioni VPC peering VPCs che fanno parte dell'account. Ad esempio, un utente non può eliminare una connessione VPC peering se l'accettante o il richiedente VPC si trova in un account diverso. Un utente non può creare una connessione VPC peering con un account diversoVPC.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "ec2:DescribeVpcPeeringConnections", "Resource": "*" }, { "Effect": "Allow", "Action": ["ec2:CreateVpcPeeringConnection","ec2:AcceptVpcPeeringConnection"], "Resource": "arn:aws:ec2:*:account-id:vpc/*" }, { "Effect": "Allow", "Action": "ec2:*VpcPeeringConnection", "Resource": "arn:aws:ec2:*:account-id:vpc-peering-connection/*", "Condition": { "ArnEquals": { "ec2:AccepterVpc": "arn:aws:ec2:*:account-id:vpc/*", "ec2:RequesterVpc": "arn:aws:ec2:*:account-id:vpc/*" } } } ] }
Esempio: gestione delle connessioni VPC peering utilizzando la console
Per visualizzare le connessioni VPC peering nella VPC console Amazon, gli utenti devono disporre dell'autorizzazione per utilizzare l'ec2:DescribeVpcPeeringConnectionsazione. Per utilizzare la finestra di dialogo Create Peering Connection (Crea connessione peering), gli utenti devono disporre dell'autorizzazione per utilizzare l'operazione ec2:DescribeVpcs. Ciò concede loro l'autorizzazione a visualizzare e selezionare un. VPC Puoi applicare autorizzazioni a livello di risorsa a tutte le operazioni ec2:*PeeringConnection, tranne ec2:DescribeVpcPeeringConnections.
La seguente politica concede agli utenti l'autorizzazione a visualizzare le connessioni VPC peering e a utilizzare la finestra di dialogo Crea connessione VPC peering per creare una connessione VPC peering utilizzando solo un richiedente specifico. VPC Se gli utenti tentano di creare una connessione VPC peering con un richiedente diverso, la richiesta ha esito negativo. VPC
{ "Version": "2012-10-17", "Statement": [ { "Effect":"Allow", "Action": [ "ec2:DescribeVpcPeeringConnections", "ec2:DescribeVpcs" ], "Resource": "*" }, { "Effect":"Allow", "Action": "ec2:CreateVpcPeeringConnection", "Resource": [ "arn:aws:ec2:*:*:vpc/vpc-id", "arn:aws:ec2:*:*:vpc-peering-connection/*" ] } ] }
