使用 VPC 端點控制對服務的存取 - Amazon Virtual Private Cloud

使用 VPC 端點控制對服務的存取

當您建立界面或閘道端點時,可以將端點政策連接至界面或閘道端點,以控制存取您要連線的服務。端點政策必須以 JSON 格式撰寫。並非所有服務都支援端點策略。

如果您使用 Amazon S3 的端點,也可以使用 Amazon S3 儲存貯體原則,從特定端點或特定 VPC 控制對儲存貯體的存取。如需詳細資訊,請參閱 使用 Amazon S3 儲存貯體政策

使用 VPC 端點政策

當您建立或修改端點時,VPC 端點原則是您連線至端點的 IAM 資源原則。如果您未在建立端點時連接政策,則會連接預設政策以允許完整存取服務。如果服務不支援端點政策,則端點會允許服務的完整存取權。端點原則不會覆寫或取代 IAM 使用者原則或服務特定原則 (例如 S3 儲存貯體原則)。這個另行區分的政策會控制從端點到所指定之服務的存取。

您無法將一個以上的政策連接至端點。但是,您可以隨時修改政策。如果您修改政策,則變更生效需費時幾分鐘。如需有關撰寫原則的詳細資訊,請參閱 IAM 使用者指南中的 IAM 原則概觀

您的端點原則就像任何 IAM 原則;不過,請記下下列各項:

  • 您的原則必須包含 Principal 元素。如需相關閘道端點的其他資訊,請參閱閘道端點的端點政策

  • 端點政策的大小不可超過 20,480 個字元 (包含空格)。

如需支援端點政策之服務的詳細資訊,請參閱 跟 AWS PrivateLink 整合的 AWS 服務

閘道端點的端點政策

對於適用於閘道端點的端點原則,如果您以 Principal"AWS":"account-ID" 格式指定 "AWS":"arn:aws:iam::account-ID:root",則只會將存取權授予帳戶的根使用者,而不是帳戶的所有 IAM 使用者和角色。

如果您為 Principal 元素指定 Amazon Resource Name (ARN),則 ARN 會在儲存原則時轉換為唯一的主體 ID。

例如 Amazon S3 和 DynamoDB 的端點原則,請參閱下列主題:

安全群組

當您建立界面端點時,可以建立安全群組與 VPC 中所建立之端點網路界面的關聯。如果您未指定安全群組,將會自動建立 VPC 的預設安全群組與端點網路界面的關聯。您必須確定安全群組的規則允許端點網路界面與 VPC 中的資源 (可與服務通訊) 之間的通訊。

針對閘道端點,如果限制您安全群組的傳出規則,則您必須新增規則,允許流量從 VPC 傳出至端點中指定的服務。若要執行此作業,您可以在傳出規則中使用服務的 AWS 字首清單 ID 做為目的地。如需詳細資訊,請參閱 修改安全群組

安全群組不會套用至閘道負載平衡器端點。