アカウント管理用の Amazon Virtual Private Cloud エンドポイントポリシー - AWS アカウント管理

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

アカウント管理用の Amazon Virtual Private Cloud エンドポイントポリシー

Amazon SNS の Amazon VPC エンドポイントに対するポリシーを作成して、以下を指定することができます。

  • アクションを実行できるプリンシパル。

  • プリンシパルが実行できるアクション。

  • このアクションを実行できるリソース。

次の例は、アカウント 123456789012 の Alice という名前の 1 人の IAM ユーザーが任意の の代替連絡先情報を取得および変更することを許可する Amazon VPC エンドポイントポリシーを示していますが AWS アカウント、任意のアカウントの代替連絡先情報を削除するアクセス許可をすべての IAM ユーザーに拒否します。

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "account:GetAlternateContact",
                "account:PutAlternateContact"
            ],
            "Resource": "arn:aws::iam:*:account",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws::iam:123456789012:user/Alice"
            }
        },
        {
            "Action": "account:DeleteAlternateContact",
            "Resource": "*",
            "Effect": "Deny",
            "Principal": {
                "AWS": "arn:aws::iam:*:root"
            }
        }
    ]
}

Organization の一部であるアカウントへのアクセス権を AWS 組織のメンバーアカウントの 1 つにあるプリンシパルに付与する場合、 Resource要素は次の形式を使用する必要があります。

arn:aws:account::{ManagementAccountId}:account/o-{OrganizationId}/{AccountId}

エンドポイントポリシーの作成方法の詳細については、AWS PrivateLink ガイドの「VPC エンドポイントによるサービスへのアクセスのコントロール」を参照してください。