Steuerung des Zugriffs auf Dienste über VPC-Endpunkte - Verwaltete Integrationen für AWS IoT Device Management
Beispiel 1 für eine RichtlinieBeispiel 2 für eine Richtlinie

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Steuerung des Zugriffs auf Dienste über VPC-Endpunkte

Eine VPC-Endpunktrichtlinie ist eine IAM-Ressourcenrichtlinie, die Sie einem Schnittstellen-VPC-Endpunkt zuordnen, wenn Sie den Endpunkt erstellen oder ändern. Wenn Sie einem Endpunkt beim Erstellen keine Richtlinie zuordnen, wird ihm eine Standardrichtlinie mit Vollzugriff auf den Service zugeordnet. IAM-Benutzerrichtlinien oder servicespezifische Richtlinien werden von einer Endpunktrichtlinie nicht überschrieben oder ersetzt. Endpunktrichtlinien steuern unabhängig vom Endpunkt den Zugriff auf den angegebenen Service.

Endpunktrichtlinien müssen im JSON-Format erstellt werden. Weitere Informationen finden Sie unter Steuerung des Zugriffs auf Services mit VPC-Endpunkten im Amazon VPC Benutzerhandbuch.

Beispiel: VPC-Endpunktrichtlinie für AWS IoT verwaltete Integrationsaktionen

Im Folgenden finden Sie ein Beispiel für eine Endpunktrichtlinie für AWS IoT verwaltete Integrationen. Diese Richtlinie ermöglicht Benutzern, die über den VPC-Endpunkt eine Verbindung zu AWS IoT verwalteten Integrationen herstellen, Zugriff auf Ziele, verweigert jedoch den Zugriff auf Anmeldeinformationsschließfächer.

{
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": "*",
            "Action": [
                "iotmanagedintegrations:ListDestinations",
                "iotmanagedintegrations:GetDestination",
                "iotmanagedintegrations:CreateDestination",
                "iotmanagedintegrations:UpdateDestination",
                "iotmanagedintegrations:DeleteDestination"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Deny",
            "Principal": "*",
            "Action": [
                "iotmanagedintegrations:ListCredentialLockers",
                "iotmanagedintegrations:GetCredentialLocker",
                "iotmanagedintegrations:CreateCredentialLocker",
                "iotmanagedintegrations:UpdateCredentialLocker",
                "iotmanagedintegrations:DeleteCredentialLocker"
            ],
            "Resource": "*"
        }
    ]
}

Beispiel: VPC-Endpunktrichtlinie, die den Zugriff auf eine bestimmte IAM-Rolle einschränkt

Die folgende VPC-Endpunktrichtlinie ermöglicht den Zugriff auf AWS IoT verwaltete Integrationen nur für IAM-Prinzipale, die die angegebene IAM-Rolle in ihrer Vertrauenskette haben. Allen anderen IAM-Prinzipalen wird der Zugriff verweigert.

{
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": "*",
            "Action": "*",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:PrincipalArn": "arn:aws:iam::123456789012:role/IoTManagedIntegrationsVPCRole"
                }
            }
        }
    ]
}