VPC 엔드포인트 및 VPC 엔드포인트 서비스에 대한 ID 및 액세스 관리 - Amazon Virtual Private Cloud

VPC 엔드포인트 및 VPC 엔드포인트 서비스에 대한 ID 및 액세스 관리

IAM을 사용하여 VPC 엔드포인트 및 VPC 엔드포인트 서비스에 대한 액세스를 관리합니다.

VPC 엔드포인트 사용 제어

기본적으로 IAM 사용자에게는 엔드포인트 사용 권한이 없습니다. IAM 사용자 정책을 만들어 사용자에게 엔드포인트를 생성, 수정, 설명, 삭제할 수 있는 권한을 부여할 수 있습니다. 다음은 예제입니다.

{ "Version": "2012-10-17", "Statement":[{ "Effect":"Allow", "Action":"ec2:*VpcEndpoint*", "Resource":"*" } ] }

VPC 엔드포인트를 사용하는 서비스에 대한 액세스 제어에 대한 자세한 내용은 VPC 엔드포인트로 서비스 액세스 제어 단원을 참조하십시오.

서비스 소유자를 기준으로 VPC 엔드포인트 생성 제어

ec2:VpceServiceOwner 조건 키를 사용하여 서비스를 소유한 사람(amazon, aws-marketplace 또는 aws-account-id) 기준으로 생성 가능한 VPC 엔드포인트를 제어할 수 있습니다. 다음 예제에서는 서비스 소유자가 amazon인 경우에만 VPC 엔드포인트를 만들 수 있습니다. 이 예제를 사용하려면 계정 ID, 서비스 소유자 및 리전을 대체해야 합니다(us-east-1 리전에 있지 않은 경우).

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "ec2:CreateVpcEndpoint", "Resource": [ "arn:aws:ec2:us-east-1:accountId:vpc-endpoint/*" ], "Condition": { "StringEquals": { "ec2:VpceServiceOwner": [ "amazon" ] } } } ] }

VPC 엔드포인트 서비스에 대해 지정할 수 있는 프라이빗 DNS 이름 제어

VPC 엔드포인트 서비스와 연결된 프라이빗 DNS 이름을 기준으로 수정 또는 생성 가능한 VPC 엔드포인트 서비스를 ec2:VpceServicePrivateDnsName 조건 키를 사용하여 제어할 수 있습니다. 다음 예제에서는 프라이빗 DNS 이름이 example.com인 경우에만 VPC 엔드포인트 서비스를 만들 수 있습니다. 이 예제를 사용하려면 계정 ID, 프라이빗 DNS 이름 및 리전을 대체해야 합니다(us-east-1 리전에 있지 않은 경우).

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:ModifyVpcEndpointServiceConfiguration", "ec2:CreateVpcEndpointServiceConfiguration" ], "Resource": [ "arn:aws:ec2:us-east-1:accountId:vpc-endpoint-service/*" ], "Condition": { "StringEquals": { "ec2:VpceServicePrivateDnsName": [ "example.com" ] } } } ] }

VPC 엔드포인트 서비스에 대해 지정할 수 있는 서비스 이름 제어

VPC 엔드포인트 서비스 이름을 기준으로 생성 가능한 VPC 엔드포인트를 ec2:VpceServiceName 조건 키를 사용하여 제어할 수 있습니다. 다음 예제에서는 서비스 이름이 com.amazonaws.us-east-1.s3인 경우에만 VPC 엔드포인트를 만들 수 있습니다. 이 예제를 사용하려면 계정 ID, 서비스 이름 및 리전을 대체해야 합니다(us-east-1 리전에 있지 않은 경우).

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "ec2:CreateVpcEndpoint", "Resource": [ "arn:aws:ec2:us-east-1:accountId:vpc-endpoint/*" ], "Condition": { "StringEquals": { "ec2:VpceServiceName": [ "com.amazonaws.us-east-1.s3" ] } } } ] }