Exemplos de políticas baseadas em identidade para AWS PrivateLink - Amazon Virtual Private Cloud
Controle o uso de VPC endpointsControle a criação de VPC endpoints com base no proprietário do serviçoControle os DNS nomes privados que podem ser especificados para serviços de VPC endpoint Controle os nomes de serviços que podem ser especificados para serviços de VPC endpoint

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Exemplos de políticas baseadas em identidade para AWS PrivateLink

Por padrão, usuários e funções não têm permissão para criar ou modificar recursos do AWS PrivateLink . Eles também não podem realizar tarefas usando o AWS Management Console, AWS Command Line Interface (AWS CLI) ou AWS API. Para conceder permissão aos usuários para realizar ações nos recursos de que precisam, um IAM administrador pode criar IAM políticas. O administrador pode então adicionar as IAM políticas às funções e os usuários podem assumir as funções.

Para saber como criar uma política IAM baseada em identidade usando esses exemplos de documentos de JSON política, consulte Criação de IAM políticas no Guia do IAMusuário.

Para obter detalhes sobre ações e tipos de recursos definidos por AWS PrivateLink, incluindo o formato de cada um dos tipos de recursos, consulte Ações, recursos e chaves de condição para a Amazon EC2 na Referência de Autorização de Serviço. ARNs

Controle o uso de VPC endpoints

Por padrão, os usuários do não têm permissão para trabalhar com endpoints. Você pode criar uma política baseada em identidade que conceda aos usuários permissão para criar, modificar, descrever e excluir endpoints. Veja um exemplo a seguir.

{
    "Version": "2012-10-17",
    "Statement":[
        {
            "Effect": "Allow",
            "Action":"ec2:*VpcEndpoint*",
            "Resource":"*"
        }
    ]
}

Para obter informações sobre como controlar o acesso aos serviços usando VPC endpoints, consulteControlar o acesso a endpoints da usando políticas de endpoint.

Controle a criação de VPC endpoints com base no proprietário do serviço

Você pode usar a chave de ec2:VpceServiceOwner condição para controlar qual VPC endpoint pode ser criado com base em quem é o proprietário do serviço (amazonaws-marketplace, ou no ID da conta). O exemplo a seguir concede permissão para criar VPC endpoints com o proprietário do serviço especificado. Para usar o exemplo, substitua a região, o ID da conta e o proprietário do serviço.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "ec2:CreateVpcEndpoint",
            "Resource": [
                "arn:aws:ec2:region:account-id:vpc/*",
                "arn:aws:ec2:region:account-id:security-group/*",
                "arn:aws:ec2:region:account-id:subnet/*",
                "arn:aws:ec2:region:account-id:route-table/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": "ec2:CreateVpcEndpoint",
            "Resource": [
                "arn:aws:ec2:region:account-id:vpc-endpoint/*"
            ],
            "Condition": {
                "StringEquals": {
                    "ec2:VpceServiceOwner": [
                        "amazon"
                    ]
                }
            }
        }
    ]
}

Controle os DNS nomes privados que podem ser especificados para serviços de VPC endpoint

Você pode usar a chave de ec2:VpceServicePrivateDnsName condição para controlar qual serviço de VPC endpoint pode ser modificado ou criado com base no DNS nome privado associado ao serviço de VPC endpoint. O exemplo a seguir concede permissão para criar um serviço de VPC endpoint com o DNS nome privado especificado. Para usar esse exemplo, substitua a Região, o ID da conta e o DNS nome privado.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:ModifyVpcEndpointServiceConfiguration",
                "ec2:CreateVpcEndpointServiceConfiguration"
            ],
            "Resource": [
                "arn:aws:ec2:region:account-id:vpc-endpoint-service/*"
            ],
            "Condition": {
                "StringEquals": {
                    "ec2:VpceServicePrivateDnsName": [
                        "example.com"
                    ]
                }
            }
        }
    ]
}

Controle os nomes de serviços que podem ser especificados para serviços de VPC endpoint

Você pode usar a chave de ec2:VpceServiceName condição para controlar qual VPC endpoint pode ser criado com base no nome do serviço do VPC endpoint. O exemplo a seguir concede permissão para criar um VPC endpoint com o nome do serviço especificado. Para usar o exemplo, substitua a região, o ID da conta e o nome do serviço.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "ec2:CreateVpcEndpoint",
            "Resource": [
                "arn:aws:ec2:region:account-id:vpc/*",
                "arn:aws:ec2:region:account-id:security-group/*",
                "arn:aws:ec2:region:account-id:subnet/*",
                "arn:aws:ec2:region:account-id:route-table/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": "ec2:CreateVpcEndpoint",
            "Resource": [
                "arn:aws:ec2:region:account-id:vpc-endpoint/*"
            ],
            "Condition": {
                "StringEquals": {
                    "ec2:VpceServiceName": [
                        "com.amazonaws.region.s3"
                    ]
                }
            }
        }
    ]
}