Control del acceso a los servicios a través de puntos finales de VPC - Integraciones gestionadas para AWS IoT Device Management
Ejemplo 1 de políticaEjemplo de política 2

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Control del acceso a los servicios a través de puntos finales de VPC

Una política de punto final de VPC es una política de recursos de IAM que se adjunta a un punto final de VPC de interfaz al crear o modificar el punto final. Si no asocia una política al crear un punto de conexión, se asociará automáticamente una política predeterminada que conceda acceso completo al servicio. Una política de punto de conexión no anula ni sustituye a las políticas de usuario de IAM ni a las políticas específicas del servicio. Se trata de una política independiente para controlar el acceso desde el punto de conexión al servicio especificado.

Las políticas de punto de conexión deben escribirse en formato JSON. Para obtener más información, consulte Control del acceso a servicios con puntos de enlace de la VPC en la Guía del usuario de Amazon VPC.

Ejemplo: política de puntos finales de VPC para acciones de integraciones AWS IoT gestionadas

El siguiente es un ejemplo de una política de puntos finales para las integraciones AWS IoT gestionadas. Esta política permite a los usuarios conectarse a integraciones AWS IoT gestionadas a través del punto final de la VPC acceder a los destinos, pero deniega el acceso a los casilleros de credenciales.

{
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": "*",
            "Action": [
                "iotmanagedintegrations:ListDestinations",
                "iotmanagedintegrations:GetDestination",
                "iotmanagedintegrations:CreateDestination",
                "iotmanagedintegrations:UpdateDestination",
                "iotmanagedintegrations:DeleteDestination"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Deny",
            "Principal": "*",
            "Action": [
                "iotmanagedintegrations:ListCredentialLockers",
                "iotmanagedintegrations:GetCredentialLocker",
                "iotmanagedintegrations:CreateCredentialLocker",
                "iotmanagedintegrations:UpdateCredentialLocker",
                "iotmanagedintegrations:DeleteCredentialLocker"
            ],
            "Resource": "*"
        }
    ]
}

Ejemplo: política de puntos finales de VPC que restringe el acceso a una función de IAM específica

La siguiente política de puntos finales de VPC permite el acceso a las integraciones AWS IoT gestionadas solo a los directores de IAM que tienen la función de IAM especificada en su cadena de confianza. Se deniega el acceso a todas las demás entidades principales de IAM.

{
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": "*",
            "Action": "*",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:PrincipalArn": "arn:aws:iam::123456789012:role/IoTManagedIntegrationsVPCRole"
                }
            }
        }
    ]
}