使用 VPC 端點控制對服務的存取
當您建立界面或閘道端點時,可以將端點政策連接至界面或閘道端點,以控制存取您要連線的服務。端點政策必須以 JSON 格式撰寫。並非所有服務都支援端點策略。
如果您使用 Amazon S3 的端點,也可以使用 Amazon S3 儲存貯體原則,從特定端點或特定 VPC 控制對儲存貯體的存取。如需詳細資訊,請參閱 使用 Amazon S3 儲存貯體政策。
使用 VPC 端點政策
當您建立或修改端點時,VPC 端點原則是您連線至端點的 IAM 資源原則。如果您未在建立端點時連接政策,則會連接預設政策以允許完整存取服務。如果服務不支援端點政策,則端點會允許服務的完整存取權。端點原則不會覆寫或取代 IAM 使用者原則或服務特定原則 (例如 S3 儲存貯體原則)。這個另行區分的政策會控制從端點到所指定之服務的存取。
您無法將一個以上的政策連接至端點。但是,您可以隨時修改政策。如果您修改政策,則變更生效需費時幾分鐘。如需有關撰寫原則的詳細資訊,請參閱 IAM 使用者指南中的 IAM 原則概觀。
您的端點原則就像任何 IAM 原則;不過,請記下下列各項:
如需支援端點政策之服務的詳細資訊,請參閱 跟 AWS PrivateLink 整合的 AWS 服務。
閘道端點的端點政策
對於適用於閘道端點的端點原則,如果您以 Principal 或 "AWS":" 格式指定 account-ID""AWS":"arn:aws:iam::,則只會將存取權授予帳戶的根使用者,而不是帳戶的所有 IAM 使用者和角色。account-ID:root"
如果您為 Principal 元素指定 Amazon Resource Name (ARN),則 ARN 會在儲存原則時轉換為唯一的主體 ID。
例如 Amazon S3 和 DynamoDB 的端點原則,請參閱下列主題:
安全群組
當您建立界面端點時,可以建立安全群組與 VPC 中所建立之端點網路界面的關聯。如果您未指定安全群組,將會自動建立 VPC 的預設安全群組與端點網路界面的關聯。您必須確定安全群組的規則允許端點網路界面與 VPC 中的資源 (可與服務通訊) 之間的通訊。
針對閘道端點,如果限制您安全群組的傳出規則,則您必須新增規則,允許流量從 VPC 傳出至端點中指定的服務。若要執行此作業,您可以在傳出規則中使用服務的 AWS 字首清單 ID 做為目的地。如需詳細資訊,請參閱 修改安全群組。
安全群組不會套用至閘道負載平衡器端點。
