本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 透過 VPC 端點控制對 服務的存取
VPC 端點政策是您在建立或修改端點時連接到介面 VPC 端點的 IAM 資源政策。如果您未在建立端點時連接政策,我們會以預設政策連接以允許完整存取服務。端點政策不會覆寫或取代 IAM 使用者政策或服務特定的政策。這個另行區分的政策會控制從端點到所指定之服務的存取。
端點政策必須以 JSON 格式撰寫。如需詳細資訊,請參閱 *Amazon VPC 使用者指南*中的[使用 VPC 端點控制對服務的存取](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html)。
## 範例: AWS IoT 受管整合動作的 VPC 端點政策
以下是 AWS IoT 受管整合的端點政策範例。此政策允許使用者透過 VPC 端點連線至 AWS IoT 受管整合,以存取目的地,但拒絕存取登入資料儲存庫。
```
{
"Statement": [
{
"Effect": "Allow",
"Principal": "*",
"Action": [
"iotmanagedintegrations:ListDestinations",
"iotmanagedintegrations:GetDestination",
"iotmanagedintegrations:CreateDestination",
"iotmanagedintegrations:UpdateDestination",
"iotmanagedintegrations:DeleteDestination"
],
"Resource": "*"
},
{
"Effect": "Deny",
"Principal": "*",
"Action": [
"iotmanagedintegrations:ListCredentialLockers",
"iotmanagedintegrations:GetCredentialLocker",
"iotmanagedintegrations:CreateCredentialLocker",
"iotmanagedintegrations:UpdateCredentialLocker",
"iotmanagedintegrations:DeleteCredentialLocker"
],
"Resource": "*"
}
]
}
```
## 範例:限制存取特定 IAM 角色的 VPC 端點政策
下列 VPC 端點政策僅允許在其信任鏈中具有指定 IAM 角色的 IAM 主體存取 AWS IoT 受管整合。所有其他 IAM 主體都會遭到拒絕存取。
```
{
"Statement": [
{
"Effect": "Allow",
"Principal": "*",
"Action": "*",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/IoTManagedIntegrationsVPCRole"
}
}
}
]
}
```