Controle do acesso aos serviços por meio de VPC endpoints - Integrações gerenciadas para AWS IoT Device Management
Exemplo de política 1Exemplo de política 2

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Controle do acesso aos serviços por meio de VPC endpoints

Uma política de VPC endpoint é uma política de recursos do IAM que você anexa a uma interface VPC endpoint ao criar ou modificar o endpoint. Se você não anexar uma política quando criar um endpoint, anexaremos uma política padrão que permita o acesso total ao serviço. Uma política de endpoint não substitui políticas de usuário do IAM nem políticas de serviço específicas. É uma política separada para controlar o acesso do endpoint ao serviço especificado.

Políticas de endpoint devem ser gravadas em formato JSON. Para obter mais informações, consulte Controlar o acesso a serviços com VPC endpoints no Guia do usuário da Amazon VPC.

Exemplo: política de VPC endpoint para ações de integrações gerenciadas AWS IoT

Veja a seguir um exemplo de uma política de endpoint para integrações AWS IoT gerenciadas. Essa política permite que os usuários se conectem a integrações AWS IoT gerenciadas por meio do VPC endpoint para acessar destinos, mas nega o acesso aos armários de credenciais.

{
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": "*",
            "Action": [
                "iotmanagedintegrations:ListDestinations",
                "iotmanagedintegrations:GetDestination",
                "iotmanagedintegrations:CreateDestination",
                "iotmanagedintegrations:UpdateDestination",
                "iotmanagedintegrations:DeleteDestination"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Deny",
            "Principal": "*",
            "Action": [
                "iotmanagedintegrations:ListCredentialLockers",
                "iotmanagedintegrations:GetCredentialLocker",
                "iotmanagedintegrations:CreateCredentialLocker",
                "iotmanagedintegrations:UpdateCredentialLocker",
                "iotmanagedintegrations:DeleteCredentialLocker"
            ],
            "Resource": "*"
        }
    ]
}

Exemplo: política de VPC endpoint que restringe o acesso a uma função específica do IAM

A política de VPC endpoint a seguir permite acesso a integrações AWS IoT gerenciadas somente para diretores do IAM que tenham a função específica do IAM em sua cadeia de confiança. Todos os outros diretores do IAM têm acesso negado.

{
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": "*",
            "Action": "*",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:PrincipalArn": "arn:aws:iam::123456789012:role/IoTManagedIntegrationsVPCRole"
                }
            }
        }
    ]
}