アカウント管理用の Amazon Virtual Private Cloud エンドポイントポリシー - AWS アカウント管理

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

アカウント管理用の Amazon Virtual Private Cloud エンドポイントポリシー

アカウント管理用の Amazon VPCエンドポイントポリシーを作成して、以下を指定できます。

  • アクションを実行できるプリンシパル。

  • プリンシパルが実行できるアクション。

  • このアクションを実行できるリソース。

次の例は、アカウント 123456789012 の Alice という名前の 1 人のIAMユーザーに、任意の の代替連絡先情報の取得と変更の両方を許可する Amazon VPCエンドポイントポリシーを示しています。 AWS アカウントただし、 アカウント上の代替連絡先情報を削除するアクセス許可はすべてのIAMユーザーに拒否されます。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "account:GetAlternateContact",
                "account:PutAlternateContact"
            ],
            "Resource": "arn:aws::iam:*:account,
            "Effect": "Allow",
            "Principal": {
              "AWS": "arn:aws::iam:123456789012:user/Alice"
            }
        },
        {
            "Action": "account:DeleteAlternateContact",
            "Resource": "*",
            "Effect": "Deny",
            "Principal": "arn:aws::iam:*:root"
        }
    ]
}

の一部であるアカウントへのアクセスを許可する場合 AWS 組織のメンバーアカウントの 1 つにあるプリンシパルへの組織では、 Resource要素は次の形式を使用する必要があります。

arn:aws:account::{ManagementAccountId}:account/o-{OrganizationId}/{AccountId}

エンドポイントポリシーの作成の詳細については、「」のVPC「エンドポイントを使用したサービスへのアクセスの制御」を参照してください。 AWS PrivateLink ガイド