Zugreifen auf Amazon EC2 über einen Schnittstellen-VPC-Endpunkt - Amazon Elastic Compute Cloud
Erstellen eines Schnittstellen-VPC-EndpunktsErstellen einer Endpunktrichtlinie

Zugreifen auf Amazon EC2 über einen Schnittstellen-VPC-Endpunkt

Sie können den Sicherheitszustand Ihrer VPC erhöhen, indem Sie eine private Verbindung zwischen den Ressourcen in Ihrer VPC und der Amazon-EC2-API herstellen. Sie können auf die Amazon-EC2-API genauso wie in Ihrer VPC zugreifen, ohne dass dafür ein Internet-Gateway, ein NAT-Gerät, eine VPN-Verbindung oder eine Direct Connect-Verbindung notwendig ist. EC2-Instances in Ihrer VPC benötigen für den Zugriff auf die Amazon-EC2-API keine öffentlichen IP-Adressen.

Weitere Informationen finden Sie unter Zugriff auf AWS-Services über AWS PrivateLink im AWS PrivateLink-Leitfaden.

Erstellen eines Schnittstellen-VPC-Endpunkts

Erstellen Sie einen Schnittstellen-Endpunkt für Amazon EC2 mit dem folgenden Service-Namen:

  • com.amazonaws.region.ec2: Erstellt einen Endpunkt für die API-Aktionen für Amazon EC2.

Weitere Informationen finden Sie unter Zugriff auf einen AWS-Service über einen Schnittstellen-VPC-Endpunkt im AWS PrivateLink-Leitfaden.

Erstellen einer Endpunktrichtlinie

Eine Endpunktrichtlinie ist eine IAM-Ressource, die Sie Ihrem Schnittstellen-Endpunkt anfügen können. Die Standard-Endpunktrichtlinie ermöglicht den vollständigen Zugriff auf die Amazon-EC2-API über den Schnittstellen-Endpunkt. Um den Zugriff auf die Amazon-EC2-API von Ihrer VPC aus zu steuern, fügen Sie eine benutzerdefinierte Endpunktrichtlinie an den Endpunkt der Schnittstelle an.

Eine Endpunktrichtlinie gibt die folgenden Informationen an:

  • Die Prinzipale, die Aktionen ausführen können.

  • Die Aktionen, die ausgeführt werden können.

  • Die Ressource, auf der die Aktionen ausgeführt werden können.

Wichtig

Wenn eine nicht standardmäßige Richtlinie auf einen VPC-Endpunkt der Schnittstelle für Amazon EC2 angewendet wird, werden bestimmte API-Anforderungen, etwa von RequestLimitExceeded fehlgeschlagene, möglicherweise nicht an AWS CloudTrail oder Amazon CloudWatch protokolliert.

Weitere Informationen finden Sie unter Steuern des Zugriffs auf Services mit Endpunktrichtlinien im AWS PrivateLink-Leitfaden.

Das folgende Beispiel zeigt eine VPC-Endpunktrichtlinie, die die Berechtigung zum Erstellen unverschlüsselter Volumes oder zum Starten von Instances mit unverschlüsselten Volumes ablehnt. Die Beispielrichtlinie gewährt auch die Berechtigung, alle anderen Amazon EC2-Aktionen auszuführen.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
    {
        "Action": "ec2:*",
        "Effect": "Allow",
        "Resource": "*",
        "Principal": "*"
    },
    {
        "Action": [
            "ec2:CreateVolume"
        ],
        "Effect": "Deny",
        "Resource": "*",
        "Principal": "*",
        "Condition": {
            "Bool": {
                "ec2:Encrypted": "false"
            }
        }
    },
    {
        "Action": [
            "ec2:RunInstances"
        ],
        "Effect": "Deny",
        "Resource": "*",
        "Principal": "*",
        "Condition": {
            "Bool": {
                "ec2:Encrypted": "false"
            }
        }
    }]
}