使用端点策略控制对 VPC 端点的访问

终端节点策略是一种基于资源的策略，您可以将其附加到 VPC 终端节点，以控制哪些 AWS 委托人可以使用该终端节点访问。 AWS 服务

端点策略不会覆盖或取代基于身份的策略或基于资源的策略。例如，如果您目前使用接口端点连接到 Amazon S3，则还可以使用 Amazon S3 存储桶策略来控制从特定端点或特定 VPC 对存储桶进行的访问。

注意事项

• 端点策略是使用 IAM policy 语言的 JSON 策略文档。其中必须包含一个 Principal 元素。端点策略的大小不得超过 20480 个字符（包含空格）。

• 在为创建接口或网关终端节点时 AWS 服务，可以将单个终端节点策略附加到该终端节点。您可以随时更新端点策略。如果您不附加端点策略，我们将附加默认端点策略。

• 并非所有都 AWS 服务 支持端点策略。如果 AWS 服务 不支持终端节点策略，则我们允许对该服务的任何终端节点进行完全访问权限。有关更多信息，请参阅 查看端点策略支持。

• 当您为端点服务而非 AWS 服务创建 VPC 端点时，我们允许对该端点进行完全访问。

默认端点策略

默认端点策略授予对端点的完全访问权限。

{
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": "*",
            "Action": "*",
            "Resource": "*"
        }
    ]
}

接口端点策略

有关终端节点策略的示例 AWS 服务，请参阅AWS 服务 与之集成 AWS PrivateLink。表中的第一列包含每个 AWS PrivateLink 文档的链接 AWS 服务。如果 AWS 服务 支持端点策略，则其文档包括端点策略示例。

网关端点的主体

对于网关端点，您必须使用 aws:PrincipalArn 条件键向主体授予访问权限。

如果您使用以下格式之一指定主体，则访问权限只会授予 AWS 账户根用户 ，而非该账户的所有用户和角色。

"AWS": "account_id"

"AWS": "arn:aws:iam::account_id:root"

如果您为主体指定 Amazon 资源名称（ARN），则保存策略时 ARN 将转换为唯一的主体 ID。

有关网关端点的端点策略示例，请参阅以下内容：

• 适用于 Amazon S3 的端点

• 适用于 DynamoDB 的端点

更新 VPC 端点策略

按照以下步骤更新 AWS 服务的端点策略。在更新完端点策略后，您所做的更改可能需要几分钟才能生效。

使用控制台更新端点策略

1. 通过以下网址打开 Amazon VPC 控制台：https://console.aws.amazon.com/vpc/。

2. 在导航窗格中，选择端点。

3. 选择 VPC 端点。

4. 依次选择 Actions（操作）、Manage policy（管理策略）。

5. 选择 Full Access（完全访问）以允许对服务进行完全访问，或者选择 Custom（自定义）并附加自定义策略。

6. 选择保存。

使用命令行更新端点策略

• modify-vpc-endpoint (AWS CLI)

• Edit-EC2VpcEndpoint（适用于 Windows 的工具） PowerShell