Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Identity-based contoh kebijakan untuk AWS PrivateLink
Secara default, pengguna dan peran tidak memiliki izin untuk membuat atau mengubah sumber daya AWS PrivateLink . Untuk memberikan izin kepada pengguna untuk melakukan tindakan di sumber daya yang mereka perlukan, administrator IAM dapat membuat kebijakan IAM.
*Untuk mempelajari cara membuat kebijakan berbasis identitas IAM dengan menggunakan contoh dokumen kebijakan JSON ini, lihat [Membuat kebijakan IAM (konsol) di Panduan Pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html).*
Untuk detail tentang tindakan dan jenis sumber daya yang ditentukan oleh AWS PrivateLink, termasuk format ARN untuk setiap jenis sumber daya, lihat [Kunci tindakan, sumber daya, dan kondisi untuk Amazon](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonec2.html) EC2 di Referensi Otorisasi *Layanan*.
**Topics**
+ [Kontrol penggunaan titik akhir VPC](#endpoints-example)
+ [Kontrol pembuatan titik akhir VPC berdasarkan pemilik layanan](#create-endpoints-example)
+ [Kontrol nama DNS pribadi yang dapat ditentukan untuk layanan titik akhir VPC](#private-dns-name-example)
+ [Kontrol nama layanan yang dapat ditentukan untuk layanan titik akhir VPC](#service-names-example)
## Kontrol penggunaan titik akhir VPC
Secara default, pengguna tidak memiliki izin untuk bekerja dengan titik akhir. Anda dapat membuat kebijakan berbasis identitas yang memberikan izin kepada pengguna untuk membuat, memodifikasi, mendeskripsikan, dan menghapus titik akhir. Berikut adalah contohnya.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect": "Allow",
"Action":"ec2:*VpcEndpoint*",
"Resource":"*"
}
]
}
```
------
Untuk informasi tentang mengontrol akses ke layanan menggunakan titik akhir VPC, lihat. [Kontrol akses ke titik akhir VPC menggunakan kebijakan titik akhir](vpc-endpoints-access.md)
## Kontrol pembuatan titik akhir VPC berdasarkan pemilik layanan
Anda dapat menggunakan tombol `ec2:VpceServiceOwner` kondisi untuk mengontrol titik akhir VPC apa yang dapat dibuat berdasarkan siapa yang memiliki layanan (`amazon`,`aws-marketplace`, atau ID akun). Contoh berikut memberikan izin untuk membuat titik akhir VPC dengan pemilik layanan yang ditentukan. Untuk menggunakan contoh ini, ganti Wilayah, ID akun, dan pemilik layanan.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "ec2:CreateVpcEndpoint",
"Resource": [
"arn:aws:ec2:{{us-east-1}}:{{111111111111}}:vpc/*",
"arn:aws:ec2:{{us-east-1}}:{{111111111111}}:security-group/*",
"arn:aws:ec2:{{us-east-1}}:{{111111111111}}:subnet/*",
"arn:aws:ec2:{{us-east-1}}:{{111111111111}}:route-table/*"
]
},
{
"Effect": "Allow",
"Action": "ec2:CreateVpcEndpoint",
"Resource": [
"arn:aws:ec2:{{us-east-1}}:{{111111111111}}:vpc-endpoint/*"
],
"Condition": {
"StringEquals": {
"ec2:VpceServiceOwner": [
"{{amazon}}"
]
}
}
}
]
}
```
------
## Kontrol nama DNS pribadi yang dapat ditentukan untuk layanan titik akhir VPC
Anda dapat menggunakan tombol `ec2:VpceServicePrivateDnsName` kondisi untuk mengontrol layanan titik akhir VPC apa yang dapat dimodifikasi atau dibuat berdasarkan nama DNS pribadi yang terkait dengan layanan titik akhir VPC. Contoh berikut memberikan izin untuk membuat layanan titik akhir VPC dengan nama DNS pribadi yang ditentukan. Untuk menggunakan contoh ini, ganti Region, ID akun, dan nama DNS pribadi.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:ModifyVpcEndpointServiceConfiguration",
"ec2:CreateVpcEndpointServiceConfiguration"
],
"Resource": [
"arn:aws:ec2:{{us-east-1}}:{{111111111111}}:vpc-endpoint-service/*"
],
"Condition": {
"StringEquals": {
"ec2:VpceServicePrivateDnsName": [
"{{example.com}}"
]
}
}
}
]
}
```
------
## Kontrol nama layanan yang dapat ditentukan untuk layanan titik akhir VPC
Anda dapat menggunakan tombol `ec2:VpceServiceName` kondisi untuk mengontrol titik akhir VPC apa yang dapat dibuat berdasarkan nama layanan titik akhir VPC. Contoh berikut memberikan izin untuk membuat titik akhir VPC dengan nama layanan yang ditentukan. Untuk menggunakan contoh ini, ganti Region, ID akun, dan nama layanan.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "ec2:CreateVpcEndpoint",
"Resource": [
"arn:aws:ec2:{{us-east-1}}:{{111111111111}}:vpc/*",
"arn:aws:ec2:{{us-east-1}}:{{111111111111}}:security-group/*",
"arn:aws:ec2:{{us-east-1}}:{{111111111111}}:subnet/*",
"arn:aws:ec2:{{us-east-1}}:{{111111111111}}:route-table/*"
]
},
{
"Effect": "Allow",
"Action": "ec2:CreateVpcEndpoint",
"Resource": [
"arn:aws:ec2:{{us-east-1}}:{{111111111111}}:vpc-endpoint/*"
],
"Condition": {
"StringEquals": {
"ec2:VpceServiceName": [
"com.amazonaws.{{111111111111}}.{{s3}}"
]
}
}
}
]
}
```
------