本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 的身分型政策範例 AWS PrivateLink
根據預設,使用者和角色不具備建立或修改 AWS PrivateLink 資源的權限。若要授予使用者對其所需資源執行動作的許可,IAM 管理員可以建立 IAM 政策。
如需了解如何使用這些範例 JSON 政策文件建立 IAM 身分型政策,請參閱《*IAM 使用者指南*》中的[建立 IAM 政策 (主控台)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html)。
如需 定義的動作和資源類型的詳細資訊 AWS PrivateLink,包括每種資源類型的 ARNs 格式,請參閱*《服務授權參考*》中的 [Amazon EC2 的動作、資源和條件索引鍵](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonec2.html)。
**Topics**
+ [控制 VPC 端點的使用](#endpoints-example)
+ [根據服務擁有者控制 VPC 端點建立](#create-endpoints-example)
+ [控制可為 VPC 端點服務指定的私有 DNS 名稱](#private-dns-name-example)
+ [控制可為 VPC 端點服務指定的服務名稱](#service-names-example)
## 控制 VPC 端點的使用
根據預設, 使用者沒有使用端點的許可。您可以建立身分型政策,將建立、修改、說明和刪除端點的權限授予使用者。下列是 範例。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect": "Allow",
"Action":"ec2:*VpcEndpoint*",
"Resource":"*"
}
]
}
```
------
如需使用 VPC 端點控制服務存取的資訊,請參閱 [使用端點政策搭配 VPC 端點來控制存取權](vpc-endpoints-access.md)。
## 根據服務擁有者控制 VPC 端點建立
您可以根據誰擁有該服務 (`amazon`、`aws-marketplace` 或帳戶 ID),使用 `ec2:VpceServiceOwner` 條件金鑰控制可建立的 VPC 端點。下列範例授會與使用指定的服務擁有者建立 VPC 端點的許可。若要使用此範例,請替換區域、帳戶 ID 和服務擁有者。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "ec2:CreateVpcEndpoint",
"Resource": [
"arn:aws:ec2:us-east-1:111111111111:vpc/*",
"arn:aws:ec2:us-east-1:111111111111:security-group/*",
"arn:aws:ec2:us-east-1:111111111111:subnet/*",
"arn:aws:ec2:us-east-1:111111111111:route-table/*"
]
},
{
"Effect": "Allow",
"Action": "ec2:CreateVpcEndpoint",
"Resource": [
"arn:aws:ec2:us-east-1:111111111111:vpc-endpoint/*"
],
"Condition": {
"StringEquals": {
"ec2:VpceServiceOwner": [
"amazon"
]
}
}
}
]
}
```
------
## 控制可為 VPC 端點服務指定的私有 DNS 名稱
您可以根據與 VPC 端點服務相關聯的私有 DNS 名稱,使用 `ec2:VpceServicePrivateDnsName` 條件金鑰控制可修改或建立的 VPC 端點服務。下列範例會授與使用指定的私有 DNS 名稱建立 VPC 端點服務的許可。若要使用此範例,請替換區域、帳戶 ID 和私有 DNS 名稱。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:ModifyVpcEndpointServiceConfiguration",
"ec2:CreateVpcEndpointServiceConfiguration"
],
"Resource": [
"arn:aws:ec2:us-east-1:111111111111:vpc-endpoint-service/*"
],
"Condition": {
"StringEquals": {
"ec2:VpceServicePrivateDnsName": [
"example.com"
]
}
}
}
]
}
```
------
## 控制可為 VPC 端點服務指定的服務名稱
您可以根據 VPC 端點服務名稱,使用 `ec2:VpceServiceName` 條件金鑰控制可建立的 VPC 端點。下列範例會授與使用指定的服務名稱建立 VPC 端點的許可。若要使用此範例,請替換區域、帳戶 ID 和服務名稱。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "ec2:CreateVpcEndpoint",
"Resource": [
"arn:aws:ec2:us-east-1:111111111111:vpc/*",
"arn:aws:ec2:us-east-1:111111111111:security-group/*",
"arn:aws:ec2:us-east-1:111111111111:subnet/*",
"arn:aws:ec2:us-east-1:111111111111:route-table/*"
]
},
{
"Effect": "Allow",
"Action": "ec2:CreateVpcEndpoint",
"Resource": [
"arn:aws:ec2:us-east-1:111111111111:vpc-endpoint/*"
],
"Condition": {
"StringEquals": {
"ec2:VpceServiceName": [
"com.amazonaws.111111111111.s3"
]
}
}
}
]
}
```
------