透過 VPC 端點控制對 服務的存取 - 的受管整合 AWS IoT Device Management
政策範例 1政策範例 2

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

透過 VPC 端點控制對 服務的存取

VPC 端點政策是您在建立或修改端點時連接到介面 VPC 端點的 IAM 資源政策。如果您未在建立端點時連接政策,我們會以預設政策連接以允許完整存取服務。端點政策不會覆寫或取代 IAM 使用者政策或服務特定的政策。這個另行區分的政策會控制從端點到所指定之服務的存取。

端點政策必須以 JSON 格式撰寫。如需詳細資訊,請參閱 Amazon VPC 使用者指南中的使用 VPC 端點控制對服務的存取

範例: AWS IoT 受管整合動作的 VPC 端點政策

以下是 AWS IoT 受管整合的端點政策範例。此政策允許使用者透過 VPC 端點連線至 AWS IoT 受管整合,以存取目的地,但拒絕存取登入資料儲存庫。

{
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": "*",
            "Action": [
                "iotmanagedintegrations:ListDestinations",
                "iotmanagedintegrations:GetDestination",
                "iotmanagedintegrations:CreateDestination",
                "iotmanagedintegrations:UpdateDestination",
                "iotmanagedintegrations:DeleteDestination"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Deny",
            "Principal": "*",
            "Action": [
                "iotmanagedintegrations:ListCredentialLockers",
                "iotmanagedintegrations:GetCredentialLocker",
                "iotmanagedintegrations:CreateCredentialLocker",
                "iotmanagedintegrations:UpdateCredentialLocker",
                "iotmanagedintegrations:DeleteCredentialLocker"
            ],
            "Resource": "*"
        }
    ]
}

範例:限制存取特定 IAM 角色的 VPC 端點政策

下列 VPC 端點政策僅允許在其信任鏈中具有指定 IAM 角色的 IAM 主體存取 AWS IoT 受管整合。所有其他 IAM 主體都會遭到拒絕存取。

{
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": "*",
            "Action": "*",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:PrincipalArn": "arn:aws:iam::123456789012:role/IoTManagedIntegrationsVPCRole"
                }
            }
        }
    ]
}