As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Exemplos de políticas baseadas em identidade para AWS PrivateLink
Por padrão, usuários e perfis não têm permissão para criar ou modificar recursos do AWS PrivateLink . Para conceder permissão aos usuários para executar ações nos recursos que eles precisam, um administrador do IAM pode criar políticas do IAM.
Para aprender a criar uma política baseada em identidade do IAM ao usar esses documentos de política em JSON de exemplo, consulte [Criar políticas do IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) no *Guia do usuário do IAM*.
Para obter detalhes sobre ações e tipos de recursos definidos por AWS PrivateLink, incluindo o formato de cada um dos tipos de recursos, consulte [Ações, recursos e chaves de condição para o Amazon EC2 na Referência](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonec2.html) de *autorização de serviço*. ARNs
**Topics**
+ [Controlar o uso dos VPC endpoints](#endpoints-example)
+ [Controlar a criação de VPC endpoints com base no proprietário do serviço](#create-endpoints-example)
+ [Controlar os nomes de DNS privados que podem ser especificados para serviços do VPC endpoint](#private-dns-name-example)
+ [Controlar os nomes de serviço que podem ser especificados para serviços do VPC endpoint](#service-names-example)
## Controlar o uso dos VPC endpoints
Por padrão, os usuários do não têm permissão para trabalhar com endpoints. Você pode criar uma política baseada em identidade que conceda aos usuários permissão para criar, modificar, descrever e excluir endpoints. Veja um exemplo do a seguir:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect": "Allow",
"Action":"ec2:*VpcEndpoint*",
"Resource":"*"
}
]
}
```
------
Para obter informações sobre como controlar o acesso a serviços que usam VPC endpoints, consulte [Controlar o acesso a endpoints da usando políticas de endpoint](vpc-endpoints-access.md).
## Controlar a criação de VPC endpoints com base no proprietário do serviço
É possível usar a chave de condição `ec2:VpceServiceOwner` para controlar qual endpoint da VPC pode ser criado com base em quem é o proprietário do serviço (`amazon`, `aws-marketplace` ou o ID da conta). O seguinte exemplo concede permissão para criar endpoints da VPC com o proprietário do serviço especificado. Para usar o exemplo, substitua a região, o ID da conta e o proprietário do serviço.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "ec2:CreateVpcEndpoint",
"Resource": [
"arn:aws:ec2:us-east-1:111111111111:vpc/*",
"arn:aws:ec2:us-east-1:111111111111:security-group/*",
"arn:aws:ec2:us-east-1:111111111111:subnet/*",
"arn:aws:ec2:us-east-1:111111111111:route-table/*"
]
},
{
"Effect": "Allow",
"Action": "ec2:CreateVpcEndpoint",
"Resource": [
"arn:aws:ec2:us-east-1:111111111111:vpc-endpoint/*"
],
"Condition": {
"StringEquals": {
"ec2:VpceServiceOwner": [
"amazon"
]
}
}
}
]
}
```
------
## Controlar os nomes de DNS privados que podem ser especificados para serviços do VPC endpoint
É possível usar a chave de condição `ec2:VpceServicePrivateDnsName` para controlar qual serviço do endpoint da VPC pode ser modificado ou criado com base no nome de DNS privado associado ao serviço do endpoint da VPC. O seguinte exemplo concede permissão para criar um serviço do endpoint da VPC com o nome de DNS privado especificado. Para usar o exemplo, substitua a região, o ID da conta e o nome de DNS privado.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:ModifyVpcEndpointServiceConfiguration",
"ec2:CreateVpcEndpointServiceConfiguration"
],
"Resource": [
"arn:aws:ec2:us-east-1:111111111111:vpc-endpoint-service/*"
],
"Condition": {
"StringEquals": {
"ec2:VpceServicePrivateDnsName": [
"example.com"
]
}
}
}
]
}
```
------
## Controlar os nomes de serviço que podem ser especificados para serviços do VPC endpoint
É possível usar a chave de condição `ec2:VpceServiceName` para controlar qual VPC endpoint pode ser criado com base no nome do serviço do VPC endpoint. O seguinte exemplo concede permissão para criar um endpoint da VPC com o nome do serviço especificado. Para usar o exemplo, substitua a região, o ID da conta e o nome do serviço.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "ec2:CreateVpcEndpoint",
"Resource": [
"arn:aws:ec2:us-east-1:111111111111:vpc/*",
"arn:aws:ec2:us-east-1:111111111111:security-group/*",
"arn:aws:ec2:us-east-1:111111111111:subnet/*",
"arn:aws:ec2:us-east-1:111111111111:route-table/*"
]
},
{
"Effect": "Allow",
"Action": "ec2:CreateVpcEndpoint",
"Resource": [
"arn:aws:ec2:us-east-1:111111111111:vpc-endpoint/*"
],
"Condition": {
"StringEquals": {
"ec2:VpceServiceName": [
"com.amazonaws.111111111111.s3"
]
}
}
}
]
}
```
------