Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Identity and access management untuk peering VPC
Secara default, pengguna tidak dapat membuat atau memodifikasi koneksi peering VPC. Untuk memberikan akses ke sumber daya peering VPC, lampirkan kebijakan IAM ke identitas IAM, seperti peran.
**Topics**
+ [Buat koneksi peering VPC](#vpc-peering-iam-create)
+ [Terima koneksi peering VPC](#vpc-peering-iam-accept)
+ [Hapus koneksi peering VPC](#vpc-peering-iam-delete)
+ [Bekerja dalam akun tertentu](#vpc-peering-iam-account)
+ [Kelola koneksi peering VPC di konsol](#peering-connection-console-iam)
*Untuk daftar tindakan VPC Amazon, serta kunci sumber daya dan kondisi yang didukung untuk setiap tindakan, lihat [Tindakan, sumber daya, dan kunci kondisi untuk Amazon EC2](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonec2.html) di Referensi Otorisasi Layanan.*
## Contoh: Buat koneksi peering VPC
Kebijakan berikut memberi pengguna izin untuk membuat permintaan koneksi peering VPC VPCs menggunakan yang diberi tag. `Purpose=Peering` Pernyataan pertama menerapkan kunci persyaratan (`ec2:ResourceTag`) ke sumber daya VPC. Perhatikan bahwa sumber daya VPC untuk tindakan `CreateVpcPeeringConnection` adalah selalu VPC peminta.
Pernyataan kedua memberikan izin kepada pengguna untuk membuat sumber daya koneksi peering VPC, dan karenanya menggunakan wildcard \* sebagai pengganti ID sumber daya tertentu.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action": "ec2:CreateVpcPeeringConnection",
"Resource": "arn:aws:ec2:{{us-east-1}}:{{123456789012}}:vpc/*",
"Condition": {
"StringEquals": {
"ec2:ResourceTag/{{Purpose}}": "{{Peering}}"
}
}
},
{
"Effect": "Allow",
"Action": "ec2:CreateVpcPeeringConnection",
"Resource": "arn:aws:ec2:{{us-east-1}}:{{123456789012}}:vpc-peering-connection/*"
}
]
}
```
------
Kebijakan berikut memberi pengguna izin AWS akun yang ditentukan untuk membuat koneksi peering VPC menggunakan VPC apa pun di Wilayah tertentu, tetapi hanya jika VPC yang menerima koneksi peering adalah VPC tertentu di akun tertentu.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "ec2:CreateVpcPeeringConnection",
"Resource": "arn:aws:ec2:{{us-east-1}}:{{123456789012}}:vpc/*"
},
{
"Effect": "Allow",
"Action": "ec2:CreateVpcPeeringConnection",
"Resource": "arn:aws:ec2:{{us-east-1}}:{{123456789012}}:vpc-peering-connection/*",
"Condition": {
"ArnEquals": {
"ec2:AccepterVpc": "arn:aws:ec2:{{us-east-1}}:{{111122223333}}:vpc/{{vpc-1234567890abcdef0}}"
}
}
}
]
}
```
------
## Contoh: Terima koneksi peering VPC
Kebijakan berikut memberikan izin kepada pengguna untuk menerima permintaan koneksi peering VPC dari akun tertentu. AWS Hal ini membantu untuk mencegah pengguna menerima koneksi peering VPC dari akun tak dikenal. Pernyataan menggunakan kunci `ec2:RequesterVpc` kondisi untuk menegakkan ini.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action": "ec2:AcceptVpcPeeringConnection",
"Resource": "arn:aws:ec2:{{us-east-1}}:{{123456789012}}:vpc-peering-connection/*",
"Condition": {
"ArnEquals": {
"ec2:RequesterVpc": "arn:aws:ec2:{{us-east-1}}:{{111122223333}}:vpc/*"
}
}
},
{
"Effect":"Allow",
"Action": "ec2:AcceptVpcPeeringConnection",
"Resource": "arn:aws:ec2:{{us-east-1}}:{{123456789012}}:vpc/*"
}
]
}
```
------
Kebijakan berikut memberikan izin kepada pengguna untuk menerima permintaan peering VPC jika VPC memiliki tag. `Purpose=Peering`
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action": "ec2:AcceptVpcPeeringConnection",
"Resource": "arn:aws:ec2:{{us-east-1}}:{{123456789012}}:vpc-peering-connection/*"
},
{
"Effect": "Allow",
"Action": "ec2:AcceptVpcPeeringConnection",
"Resource": "arn:aws:ec2:{{us-east-1}}:{{123456789012}}:vpc/*",
"Condition": {
"StringEquals": {
"ec2:ResourceTag/{{Purpose}}": "{{Peering}}"
}
}
}
]
}
```
------
## Contoh: Hapus koneksi peering VPC
Kebijakan berikut memberi pengguna izin akun yang ditentukan untuk menghapus koneksi peering VPC apa pun, kecuali yang menggunakan VPC yang ditentukan, yang berada di akun yang sama. Kebijakan menentukan kunci `ec2:AccepterVpc` dan `ec2:RequesterVpc` kondisi, karena VPC mungkin adalah VPC pemohon atau VPC rekan dalam permintaan koneksi peering VPC asli.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "ec2:DeleteVpcPeeringConnection",
"Resource": "arn:aws:ec2:{{us-east-1}}:{{123456789012}}:vpc-peering-connection/*",
"Condition": {
"ArnNotEquals": {
"ec2:AccepterVpc": "arn:aws:ec2:{{us-east-1}}:{{123456789012}}:vpc/{{vpc-1234567890abcdef0}}",
"ec2:RequesterVpc": "arn:aws:ec2:{{us-east-1}}:{{123456789012}}:vpc/{{vpc-0abcdef1234567890}}"
}
}
}
]
}
```
------
## Contoh: Bekerja dalam akun tertentu
Kebijakan berikut memberikan izin kepada pengguna untuk bekerja dengan koneksi peering VPC dalam akun tertentu. Pengguna dapat melihat, membuat, menerima, menolak, dan menghapus koneksi peering VPC, asalkan semuanya berada dalam akun yang sama. AWS
Pernyataan pertama memberi pengguna izin untuk melihat semua koneksi peering VPC. Elemen `Resource` membutuhkan sebuah wildcard \* dalam hal ini, sebagai tindakan API ini (`DescribeVpcPeeringConnections`) saat ini tidak men-support izin di tingkat sumber daya.
Pernyataan kedua memberikan izin kepada pengguna untuk membuat koneksi peering VPC, dan akses ke VPCs semua akun yang ditentukan untuk melakukannya.
Pernyataan ketiga menggunakan wildcard \* sebagai bagian dari `Action` elemen untuk memberikan izin untuk semua tindakan koneksi peering VPC. Kunci kondisi memastikan bahwa tindakan hanya dapat dilakukan pada koneksi peering VPC dengan VPCs yang merupakan bagian dari akun. Misalnya, pengguna tidak dapat menghapus koneksi peering VPC jika VPC penerima atau pemohon berada di akun yang berbeda. Pengguna tidak dapat membuat koneksi peering VPC dengan VPC di akun yang berbeda.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "ec2:DescribeVpcPeeringConnections",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateVpcPeeringConnection",
"ec2:AcceptVpcPeeringConnection"
],
"Resource": "arn:aws:ec2:*:{{111122223333}}:vpc/*"
},
{
"Effect": "Allow",
"Action": "ec2:*VpcPeeringConnection",
"Resource": "arn:aws:ec2:*:{{111122223333}}:vpc-peering-connection/*",
"Condition": {
"ArnEquals": {
"ec2:AccepterVpc": "arn:aws:ec2:*:{{111122223333}}:vpc/*",
"ec2:RequesterVpc": "arn:aws:ec2:*:{{111122223333}}:vpc/*"
}
}
}
]
}
```
------
## Contoh: Kelola koneksi peering VPC menggunakan konsol
Untuk melihat koneksi peering VPC di konsol Amazon VPC, pengguna harus memiliki izin untuk menggunakan tindakan `ec2:DescribeVpcPeeringConnections`. Untuk menggunakan laman **Buat Koneksi Peering**, pengguna harus memiliki izin untuk menggunakan tindakan `ec2:DescribeVpcs`. Ini memberi mereka izin untuk melihat dan memilih VPC. Anda dapat menerapkan izin di tingkat sumber daya untuk semua tindakan `ec2:*PeeringConnection`, kecuali `ec2:DescribeVpcPeeringConnections`.
Kebijakan berikut memberikan izin kepada pengguna untuk melihat koneksi peering VPC, dan menggunakan kotak dialog **Create VPC Peering Connection untuk membuat koneksi peering VPC** hanya menggunakan VPC pemohon tertentu. Jika pengguna mencoba untuk membuat koneksi peering VPC dengan VPC pemohon yang berbeda, maka permintaan gagal.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect":"Allow",
"Action": [
"ec2:DescribeVpcPeeringConnections", "ec2:DescribeVpcs"
],
"Resource": "*"
},
{
"Effect":"Allow",
"Action": "ec2:CreateVpcPeeringConnection",
"Resource": [
"arn:aws:ec2:*:*:vpc/{{vpc-1234567890abcdef0}}",
"arn:aws:ec2:*:*:vpc-peering-connection/*"
]
}
]
}
```
------