47-配置VPC终端节点策略

Hello大家好，欢迎来到《AWS解决方案架构师认证 Professional(SAP)中文视频培训课程》，今天的课时将进行实操演示，配置一个VPC终端节点策略，通过VPC终端节点策略，控制从终端节点对指定服务进行的访问。

我们开始今天的课程内容。

终端节点策略：仅允许访问指定存储桶的策略的实例

我们先看一个终端节点策略的示例：
这是一个通过配置终端节点策略，限制所有人仅可访问这个特定的存储桶，除了这个指定的存储桶，其他的存储桶不允许被访问，且只可执行S3的Get和PutObject操作，。

这个场景在组织的实际环境中还是比较常见的，如组织可能在同一AWS区域中有很多S3存储桶，负责存储不同业务的重要日志或者数据，但只希望将某业务通过终端节点的访问限制在对应该业务的存储桶上，不允许访问其他存储桶，这种场景就可以在对应终端节点上通过这个示例的策略内容进行访问控制。

我们这节课的实操演示，就演示这个：通过终端节点访问S3，使用终端节点策略做访问限制，仅允许访问策略中指定S3存储桶，仅可执行允许的动作。

实操演示：终端节点策略

我现在已经创建好了一个用于访问S3的网关终端节点，通过“策略”部分，可以查看这个终端节点当前的策略内容，目前策略是默认的允许所有访问。这就是说，如果我们的一个EC2实例，使用这个网关终端节点访问S3，如果EC2上的IAM角色或S3存储桶策略允许访问存储桶，那么正常情况下策略项是没有问题的，因为目前终端节点的策略是放行所有对于S3的访问。

我们现在就来确认下是不是这样，先切换到S3控制台，可以看到目前在测试的EC2所在的东京区域，一共有两个存储桶，名为endpoints-test001和endpoints-test002。

然后切换到测试的EC2上，我们演示的环境是通过这台EC2，使用刚才的那个终端节点访问S3存储桶。

这台EC2我给其配置了允许访问S3相应IAM权限，IAM策略方面对访问S3没做任何的限制，而当前的终端节点策略我们刚才看到了也是允许所有访问的，所以这台EC2目前应该可以正常访问S3存储桶。

我们现在测试下访问这两个存储桶：
aws s3 ls s3://endpoints-test001
aws s3 ls s3://endpoints-test002
好，可以看到目前可以正常访问这两个存储桶并列出2个存储桶内的对象。

接下来我们就演示，配置一个终端节点策略，通过策略限制只能对策略中指定存储桶进行访问。

需要说明一点，在您自行做实验的时候，要确保EC2上的IAM角色以及存储桶策略都是允许访问S3。

好，我们切换到VPC终端节点，然后通过“策略”，点击编辑策略，选择“自定义”，然后就可以在下方空白处写入终端节点策略。

我已经准备好了策略的内容，我们来看一下：

{
  "Statement": [
    {
      "Sid": "Access-to-specific-bucket-only",
      "Principal": "*",
      "Action": [
        "s3:GetObject",
        "s3:PutObject",
        "s3:List*"
      ],
      "Effect": "Allow",
      "Resource": ["arn:aws:s3:::endpoints-test001",
                   "arn:aws:s3:::endpoints-test001/*"]
    }
  ]
}

这是一个简单的终端节点策略，仅允许通过终端节点访问指定的这个存储桶以及执行允许的动作。

对应我们的演示，在终端节点配置这个策略之后，EC2通过终端节点访问S3存储桶，只能够访问endpoints-test001这个指定的存储桶，其他的存储桶如对应前面的endpoints-test002 将无法访问，且只能执行S3的这三个指定的Get PutObjetc及List动作。