Controllo dell'accesso ai servizi tramite endpoint VPC - Integrazioni gestite per AWS IoT Device Management
Esempio di policy 1Esempio di policy 2

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Controllo dell'accesso ai servizi tramite endpoint VPC

Una policy degli endpoint VPC è una policy delle risorse IAM che si collega a un endpoint VPC di interfaccia quando si crea o si modifica l'endpoint. Se non colleghi una policy durante la creazione di un endpoint, viene collegata una policy predefinita che consente l'accesso completo al servizio. Una policy endpoint non esclude né sostituisce policy dell'utente IAM o policy specifiche del servizio. Si tratta di una policy separata per controllare l'accesso dall'endpoint al servizio specificato.

Le policy endpoint devono essere scritte in formato JSON. Per ulteriori informazioni, consulta Controllo degli accessi ai servizi con endpoint VPC in Guida per l'utente di Amazon VPC.

Esempio: policy sugli endpoint VPC per AWS IoT le azioni di integrazione gestite

Di seguito è riportato un esempio di policy sugli endpoint per le integrazioni gestite. AWS IoT Questa policy consente agli utenti di connettersi alle integrazioni AWS IoT gestite tramite l'endpoint VPC per accedere alle destinazioni, ma nega l'accesso agli armadietti delle credenziali.

{
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": "*",
            "Action": [
                "iotmanagedintegrations:ListDestinations",
                "iotmanagedintegrations:GetDestination",
                "iotmanagedintegrations:CreateDestination",
                "iotmanagedintegrations:UpdateDestination",
                "iotmanagedintegrations:DeleteDestination"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Deny",
            "Principal": "*",
            "Action": [
                "iotmanagedintegrations:ListCredentialLockers",
                "iotmanagedintegrations:GetCredentialLocker",
                "iotmanagedintegrations:CreateCredentialLocker",
                "iotmanagedintegrations:UpdateCredentialLocker",
                "iotmanagedintegrations:DeleteCredentialLocker"
            ],
            "Resource": "*"
        }
    ]
}

Esempio: policy degli endpoint VPC che limita l'accesso a uno specifico ruolo IAM

La seguente policy sugli endpoint VPC consente l'accesso alle integrazioni AWS IoT gestite solo per i principali IAM che hanno il ruolo IAM specificato nella loro catena di fiducia. A tutti gli altri principali IAM viene negato l'accesso.

{
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": "*",
            "Action": "*",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:PrincipalArn": "arn:aws:iam::123456789012:role/IoTManagedIntegrationsVPCRole"
                }
            }
        }
    ]
}