本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 控制通过 VPC 终端节点访问服务
VPC 终端节点策略是您在创建或修改接口 VPC 终端节点时附加到接口 VPC 终端节点的 IAM 资源策略。如果在创建端点时未附加策略,我们将为您附加默认策略以允许对服务进行完全访问。端点策略不会覆盖或替换 IAM 用户策略或服务特定的策略。这是一个单独的策略,用于控制从端点中对指定服务进行的访问。
端点策略必须采用 JSON 格式编写。有关更多信息,请参阅 *Amazon VPC 用户指南*中的[使用 VPC 终端节点控制对服务的访问](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html)。
## 示例: AWS IoT 托管集成操作的 VPC 终端节点策略
以下是 AWS IoT 托管集成的端点策略示例。此策略允许通过 VPC 终端节点连接到 AWS IoT 托管集成的用户访问目标,但拒绝访问凭证柜。
```
{
"Statement": [
{
"Effect": "Allow",
"Principal": "*",
"Action": [
"iotmanagedintegrations:ListDestinations",
"iotmanagedintegrations:GetDestination",
"iotmanagedintegrations:CreateDestination",
"iotmanagedintegrations:UpdateDestination",
"iotmanagedintegrations:DeleteDestination"
],
"Resource": "*"
},
{
"Effect": "Deny",
"Principal": "*",
"Action": [
"iotmanagedintegrations:ListCredentialLockers",
"iotmanagedintegrations:GetCredentialLocker",
"iotmanagedintegrations:CreateCredentialLocker",
"iotmanagedintegrations:UpdateCredentialLocker",
"iotmanagedintegrations:DeleteCredentialLocker"
],
"Resource": "*"
}
]
}
```
## 示例:限制访问特定 IAM 角色的 VPC 终端节点策略
以下 VPC 终端节点策略仅允许在其信任链中具有指定 IAM 角色的 IAM 委托人访问 AWS IoT 托管集成。所有其他 IAM 委托人均被拒绝访问。
```
{
"Statement": [
{
"Effect": "Allow",
"Principal": "*",
"Action": "*",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/IoTManagedIntegrationsVPCRole"
}
}
}
]
}
```