Considerazioni Policy degli endpoint predefinita Policy degli endpoint di interfaccia Principali per endpoint gateway Aggiornamento di una policy di endpoint VPC

Controllo dell'accesso agli endpoint VPC tramite le policy di endpoint

Una policy per gli endpoint è una policy basata sulle risorse che si collega a un endpoint VPC per controllare quali AWS responsabili possono utilizzare l'endpoint per accedere a un. AWS servizio

Una policy di endpoint non esclude né sostituisce le policy basate sull'identità o sulle risorse. Ad esempio, se stai utilizzando un endpoint dell'interfaccia per connetterti ad Amazon S3, puoi anche utilizzare le policy dei bucket Amazon S3 per controllare l'accesso ai bucket da endpoint o VPC specifici.

Indice

Considerazioni
Policy degli endpoint predefinita
Policy degli endpoint di interfaccia
Principali per endpoint gateway
Aggiornamento di una policy di endpoint VPC

Considerazioni

Una policy degli endpoint è un documento di policy JSON che utilizza il linguaggio della policy IAM. Deve contenere un elemento Principal. Le dimensioni di una policy degli endpoint non possono superare i 20.480 caratteri, inclusi gli spazi bianchi.
Quando si crea un'interfaccia o un endpoint gateway per un endpoint AWS servizio, è possibile allegare una singola policy endpoint all'endpoint. Puoi aggiornare la policy degli endpoint in qualsiasi momento. Se non si allega una policy degli endpoint, alleghiamo la policy degli endpoint predefinita.
Non tutti AWS servizi supportano le policy relative agli endpoint. Se un dispositivo AWS servizio non supporta le policy relative agli endpoint, consentiamo l'accesso completo a qualsiasi endpoint per il servizio. Per ulteriori informazioni, consulta Visualizza il supporto della politica dell'endpoint.
Quando crei un endpoint VPC per un servizio endpoint diverso da un AWS servizio, consentiamo l'accesso completo all'endpoint.
Non puoi usare caratteri jolly (* o?) o operatori di condizioni numeriche con chiavi di contesto globali che fanno riferimento a identificatori generati dal sistema (ad esempio o). aws:PrincipalAccount aws:SourceVpc
Quando si utilizza un operatore di condizione di stringa, è necessario utilizzare almeno sei caratteri consecutivi prima di includere un carattere jolly.
Quando si specifica un ARN in un elemento risorsa o condizione, la parte relativa all'account dell'ARN può includere un ID account o una wild card, ma non entrambi.

Policy degli endpoint predefinita

La policy degli endpoint predefinita consente l'accesso completo all'endpoint.


{
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": "*",
            "Action": "*",
            "Resource": "*"
        }
    ]
}

Policy degli endpoint di interfaccia

Ad esempio, le politiche degli endpoint per AWS servizi, vedi. AWS servizi che si integrano con AWS PrivateLink La prima colonna della tabella contiene i collegamenti alla AWS PrivateLink documentazione relativa a ciascuna di esse AWS servizio. Se un dispositivo AWS servizio supporta le policy relative agli endpoint, la relativa documentazione include esempi di policy per gli endpoint.

Principali per endpoint gateway

Con gli endpoint gateway, l'Principalelemento deve essere impostato su. * Per specificare un principale, utilizzate la chiave aws:PrincipalArn condition.


"Condition": {
    "StringEquals": {
        "aws:PrincipalArn": "arn:aws:iam::123456789012:user/endpointuser"
    }
}

Se si specifica il principale nel formato seguente, l'accesso viene concesso Utente root dell'account AWS solo agli utenti e ai ruoli dell'account, non a tutti.


"AWS": "account_id"

Per esempi di policy degli endpoint gateway, consulta i seguenti argomenti:

Aggiornamento di una policy di endpoint VPC

Utilizza la procedura seguente per aggiornare una policy degli endpoint per un AWS servizio. Dopo avere aggiornato l'endpoint, possono essere necessari alcuni minuti prima che le modifiche diventino effettive.

Per aggiornare la policy degli endpoint usando la console

Accedere alla console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc/.
Nel pannello di navigazione, seleziona Endpoints (Endpoint).
Seleziona l'endpoint VPC.
Scegli Actions (Operazioni), Manage policy (Gestisci policy).
Scegli Full Access (Accesso completo) per consentire l'accesso completo al servizio oppure scegli Custom (Personalizzato) e specifica una policy personalizzata.
Selezionare Salva.

Per aggiornare la policy degli endpoint utilizzando la riga di comando

modify-vpc-endpoint (AWS CLI)
Edit-EC2VpcEndpoint(Strumenti per Windows PowerShell)

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Esempi di policy basate su identità

Metriche di CloudWatch