PrivateLink では、エンドポイントポリシーを設定できます。これらのポリシーを仮想プライベートクラウド (VPC) にデプロイされたエンドポイントにアタッチすることで、特定の Alibaba Cloud エンティティがエンドポイントを使用して Alibaba Cloud サービスにアクセスできるようにすることができます。これにより、ネットワークセキュリティが強化され、機密データが保護され、特定のセキュリティ要件が満たされます。
エンドポイントポリシーの種類
エンドポイントポリシーは、ID ベースのポリシーまたはリソースベースのポリシーをオーバーライドしません。たとえば、インターフェイスエンドポイントを使用して Object Storage Service (OSS) に接続する場合、バケットポリシーを使用して、インターフェイスエンドポイントまたはインターフェイスエンドポイントがデプロイされている VPC がバケットにアクセスできるようにすることもできます。エンドポイントポリシーは、次の 2 つの種類に分類されます。
デフォルトポリシー
デフォルトでは、エンドポイントはフルアクセスに使用できます。次のセクションは、ポリシーの内容を示しています。
{ "Statement": [ { "Effect": "Allow", "Principal": "*", "Action": "*", "Resource": "*" } ] }カスタムポリシー
ビジネス要件に基づいてカスタムポリシーを設定できます。詳細については、ポリシー要素 を参照してください。
使用方法に関する注意事項
エンドポイントポリシーは、Resource Access Management (RAM) ポリシーの言語を使用する JSON ファイルです。ポリシーの構造と構文に基づいてエンドポイントポリシーをコンパイルする必要があります。詳細については、ポリシーの構造と構文 を参照してください。
Alibaba Cloud サービスにアクセスするためにインターフェイスエンドポイントを作成するときに、ポリシーをインターフェイスエンドポイントにアタッチできます。エンドポイントポリシーはいつでも変更できます。インターフェイスエンドポイントにポリシーをアタッチしない場合、システムはフルアクセスを許可するデフォルトポリシーをインターフェイスエンドポイントにアタッチします。
すべての Alibaba Cloud サービスがエンドポイントポリシーをサポートしているわけではありません。Alibaba Cloud サービスがエンドポイントポリシーをサポートしていない場合、そのサービスはフルアクセスをサポートします。Alibaba Cloud ActionTrail はエンドポイントポリシーをサポートしています。
Alibaba Cloud サービスではなく他のエンドポイントサービスにアクセスするためにエンドポイントを作成する場合、エンドポイントはフルアクセスをサポートします。他のエンドポイントサービスと Alibaba Cloud サービスの違いについては、「エンドポイントの作成と管理」トピックの Alibaba Cloud サービスと他のエンドポイントサービスとは? セクションを参照してください。