本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 使用端點政策搭配 VPC 端點來控制存取權
<a name="vpc-endpoints-access"></a>

端點政策是您連接到 VPC 端點以控制哪些 AWS 主體可以使用端點存取 的資源型政策 AWS 服務。

端點政策不會覆寫或取代身分型政策或資源型政策。例如，如果您使用界面端點連接至 Amazon S3，您也可使用 Amazon S3 儲存貯體政策來控制特定端點或特定 VPC 對儲存貯體的存取權。

**Topics**
+ [考量事項](#vpc-endpoint-policy-considerations)
+ [預設端點政策](#default-endpoint-policy)
+ [介面端點政策](#vpc-endpoint-policies-interface)
+ [閘道端點的主體](#vpc-endpoint-policies-gateway)
+ [更新 VPC 端點政策](#update-vpc-endpoint-policy)

## 考量事項
<a name="vpc-endpoint-policy-considerations"></a>
+ 端點政策是使用 IAM 政策語言的 JSON 政策文件。其必須包含 [Principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) 元素。端點政策的大小不可超過 20,480 個字元 (包含空格)。
+ 當您為 建立介面或閘道端點時 AWS 服務，您可以將單一端點政策連接至端點。您可以隨時[更新端點政策](#update-vpc-endpoint-policy)。如果您未連接端點政策，則我們會連接[預設端點政策](#default-endpoint-policy)。
+ 並非所有 都 AWS 服務 支援端點政策。如果 AWS 服務 不支援端點政策，我們允許完整存取服務的任何端點。如需詳細資訊，請參閱[檢視端點政策支援](aws-services-privatelink-support.md#vpce-endpoint-policy-support)。
+ 當您為 AWS 服務以外的端點服務建立 VPC 端點時，我們會允許完整存取該端點。
+ 您無法將萬用字元 (\$1 或 ？) 或[數值條件運算](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_Numeric)子與參考系統產生識別符的全域內容索引鍵 （例如 `aws:PrincipalAccount`或 ) 搭配使用`aws:SourceVpc`。
+ 當您使用[字串條件運算子](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_String)時，您必須在每個萬用字元之前或之後使用至少六個連續字元。
+ 當您在資源或條件元素中指定 ARN 時，ARN 的帳戶部分可以包含帳戶 ID 或萬用字元，但不能同時包含兩者。
+ 更新端點政策後，變更生效需費時幾分鐘。

## 預設端點政策
<a name="default-endpoint-policy"></a>

預設端點政策會授予端點的完整存取權。

```
{
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": "*",
            "Action": "*",
            "Resource": "*"
        }
    ]
}
```

## 介面端點政策
<a name="vpc-endpoint-policies-interface"></a>

如需 的端點政策範例 AWS 服務，請參閱 [AWS 服務 與 整合 AWS PrivateLink](aws-services-privatelink-support.md)。表格中的第一欄包含每個 AWS PrivateLink 的文件連結 AWS 服務。如果 AWS 服務 支援端點政策，其文件會包含端點政策範例。

## 閘道端點的主體
<a name="vpc-endpoint-policies-gateway"></a>

使用閘道端點時，元素`Principal`必須設定為 `*`。若要指定委託人，請使用 `aws:PrincipalArn`條件金鑰。

```
"Condition": {
    "StringEquals": {
        "aws:PrincipalArn": "arn:aws:iam::123456789012:user/endpointuser"
    }
}
```

如果您以下列格式指定委託人， AWS 帳戶根使用者 則只會將存取權授予 ，而不是帳戶的所有使用者和角色。

```
"AWS": "account_id"
```

如需閘道端點的端點政策範例，請參閱下列主題：
+ [適用於 Amazon S3 的端點](vpc-endpoints-s3.md#edit-vpc-endpoint-policy-s3)
+ [DynamoDB 的端點](vpc-endpoints-ddb.md#iam-policies-ddb)

## 更新 VPC 端點政策
<a name="update-vpc-endpoint-policy"></a>

使用下列程序來更新 AWS 服務的端點政策。更新端點政策後，變更生效需費時幾分鐘。

**若要使用主控台更新端點政策**

1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。

1. 在導覽窗格中選擇 **Endpoints (端點)**。

1. 選取 VPC 端點。

1. 選擇 **Actions** (動作)、**Manage policy** (管理政策)。

1. 選擇 **Full Access** (完整存取) 以允許完整存取服務，或選擇 **Custom** (自訂) 並連接自訂政策。

1. 選擇**儲存**。

**若要使用命令列更新端點政策**
+ [modify-vpc-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpc-endpoint.html) (AWS CLI)
+ [Edit-EC2VpcEndpoint](https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2VpcEndpoint.html) (Tools for Windows PowerShell)