Controlar o acesso a endpoints da usando políticas de endpoint - Amazon Virtual Private Cloud

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Controlar o acesso a endpoints da usando políticas de endpoint

Uma política de endpoint é uma política baseada em recursos que você anexa a um endpoint VPC para controlar quais AWS diretores podem usar o endpoint para acessar um. AWS service (Serviço da AWS)

Uma política de endpoint não substitui políticas baseadas em identidade nem políticas baseadas em recursos. Por exemplo, se você estiver usando um endpoint da interface para se conectar ao Amazon S3, também poderá usar políticas de bucket do Amazon S3 para controlar o acesso a buckets de endpoints específicos ou de VPCs específicas.

Considerações

  • Uma política de endpoint é um documento de política JSON que usa a linguagem de política do IAM. A política deve conter um elemento Principal. O tamanho de uma política de endpoint não pode exceder 20.480 caracteres, incluindo espaços em branco.

  • Ao criar uma interface ou um endpoint de gateway para um AWS service (Serviço da AWS), você pode anexar uma única política de endpoint ao endpoint. Você pode atualizar a política de endpoint a qualquer momento. Se você não anexar uma política de endpoint, anexaremos a política de endpoint padrão.

  • Nem todas Serviços da AWS oferecem suporte a políticas de endpoint. Se um AWS service (Serviço da AWS) não oferecer suporte às políticas de endpoint, permitimos acesso total a qualquer endpoint do serviço. Para ter mais informações, consulte Visualizar suporte a politicas de endpoint.

  • Quando você cria um endpoint da VPC para um serviço de endpoint diferente de um  AWS service (Serviço da AWS), nós permitimos acesso total ao endpoint.

Política de endpoint padrão

A política de endpoint padrão concede acesso total ao endpoint.

{ "Statement": [ { "Effect": "Allow", "Principal": "*", "Action": "*", "Resource": "*" } ] }

Políticas para endpoints de interface

Por exemplo, políticas de endpoint para Serviços da AWS, consulteServiços da AWS que se integram com AWS PrivateLink. A primeira coluna da tabela contém links para a AWS PrivateLink documentação de cada uma AWS service (Serviço da AWS). Se um AWS service (Serviço da AWS) oferece suporte a políticas de endpoint, sua documentação inclui exemplos de políticas de endpoint.

Entidades principais de endpoints de gateway

Com os endpoints do gateway, você deve usar a chave de condição aws:PrincipalArn para conceder acesso a uma entidade principal.

Se você especificar a entidade principal em algum dos formatos abaixo, o acesso será concedido somente ao Usuário raiz da conta da AWS , e não a todos os usuários e perfis da conta.

"AWS": "account_id"
"AWS": "arn:aws:iam::account_id:root"

Se você especificar um nome do recurso da Amazon (ARN) para a entidade principal, o ARN será transformado em um ID de entidade principal exclusivo quando a política for salva.

Veja abaixo alguns exemplos de políticas do endpoint para endpoints de gateway:

Atualizar uma política de endpoint da VPC

Use o seguinte procedimento para atualizar uma política de endpoint para um  AWS service (Serviço da AWS). Depois que você atualizar uma política de endpoint, poderá levar alguns minutos para que as alterações sejam aplicadas.

Para atualizar uma política de endpoint usando o console
  1. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.

  2. No painel de navegação, escolha Endpoints.

  3. Selecione o endpoint da VPC.

  4. Escolha Actions (Ações), Manage policy (Gerenciar política).

  5. Escolha Full Access (Acesso total) para permitir acesso total ao serviço ou escolha Custom (Personalizado) e anexe uma política personalizada.

  6. Escolha Salvar.

Para atualizar uma política de endpoint usando a linha de comando