Cloud Control-API und VPC-Schnittstellen-Endpunkte ()AWS PrivateLink - Cloud Control API
Überlegungen zu Cloud Control API-VPC-EndpunktenErstellen eines VPC-Schnittstellen-Endpunkts für die Cloud Control APIErstellen einer VPC-Endpunktrichtlinie für die Cloud Control APIWeitere Informationen finden Sie auch unter

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Cloud Control-API und VPC-Schnittstellen-Endpunkte ()AWS PrivateLink

Sie können verwenden AWS PrivateLink , um eine private Verbindung zwischen Ihrer VPC und AWS -Cloud-Control- API herzustellen. Sie können auf die Cloud Control API zugreifen, als wäre sie in Ihrer VPC, ohne ein Internet-Gateway, ein NAT-Gerät, eine VPN-Verbindung oder AWS Direct Connect eine Verbindung zu verwenden. Instances in Ihrer VPC benötigen keine öffentlichen IP-Adressen, um auf die Cloud Control API zuzugreifen.

Sie stellen diese private Verbindung her, indem Sie einen Schnittstellen-Endpunkt erstellen, der von AWS PrivateLink unterstützt wird. Wir erstellen eine Endpunkt-Netzwerkschnittstelle in jedem Subnetz, das Sie für den Schnittstellen-Endpunkt aktivieren. Dabei handelt es sich um vom Anforderer verwaltete Netzwerkschnittstellen, die als Einstiegspunkt für den Datenverkehr dienen, der für die Cloud Control API bestimmt ist.

Die Cloud Control API unterstützt Aufrufe all ihrer API-Aktionen über den Schnittstellenendpunkt.

Überlegungen zu Cloud Control API-VPC-Endpunkten

Bevor Sie einen VPC-Schnittstellen-Endpunkt für die Cloud Control API einrichten, stellen Sie zunächst sicher, dass Sie die Voraussetzungen im Thema Zugriff auf einen AWS Dienst mithilfe eines VPC-Schnittstellen-Endpunkts im AWS PrivateLink Handbuch erfüllt haben.

Erstellen eines VPC-Schnittstellen-Endpunkts für die Cloud Control API

Sie können einen VPC-Endpunkt für die Cloud Control API entweder mit der Amazon VPC-Konsole oder mit AWS Command Line Interface ()AWS CLI erstellen. Weitere Informationen finden Sie unter Erstellen eines VPC-Endpunkts im AWS PrivateLink -Leitfaden.

Erstellen Sie einen Schnittstellenendpunkt für die Cloud Control API mit dem folgenden Servicenamen:

  • com.amazonaws. region.cloudcontrol-API

Wenn Sie privates DNS für den Endpunkt aktivieren, können Sie API-Anfragen an die Cloud Control API stellen, indem Sie deren Standard-DNS-Namen für die Region verwenden, zum Beispiel. cloudcontrolapi.us-east-1.amazonaws.com

Weitere Informationen finden Sie unter Zugriff auf einen AWS -Service über einen Schnittstellen-VPC-Endpunkt im Benutzerhandbuch von Amazon VPC.

Erstellen einer VPC-Endpunktrichtlinie für die Cloud Control API

Sie können Ihrem VPC-Endpunkt eine Endpunktrichtlinie hinzufügen, die den Zugriff auf die Cloud Control API steuert. Die Richtlinie gibt die folgenden Informationen an:

  • Prinzipal, der die Aktionen ausführen kann.

  • Aktionen, die ausgeführt werden können

  • Die Ressourcen, für die Aktionen ausgeführt werden können.

Weitere Informationen finden Sie im Handbuch unter Steuern des Zugriffs auf VPC-Endpunkte mithilfe von Endpunktrichtlinien.AWS PrivateLink

Wichtig

Details zur VPCE-Endpunktrichtlinie werden nicht an nachgelagerte Dienste weitergegeben, die von der Cloud Control API zur Evaluierung aufgerufen werden. Aus diesem Grund werden Richtlinien, die Aktionen oder Ressourcen spezifizieren, die zu nachgelagerten Diensten gehören, nicht durchgesetzt.

Nehmen wir beispielsweise an, Sie haben eine EC2 Amazon-Instance in einer VPC-Instance mit einem VPC-Endpunkt für die Cloud Control API in einem Subnetz ohne Internetzugang erstellt. Als Nächstes fügen Sie dem VPCE die folgende VPC-Endpunktrichtlinie hinzu:

{
  "Statement": [
    {
      "Action": [
        "cloudformation:*",
        "ec2:*",
        "lambda:*"
      ]
      "Effect": "Allow",
      "Principal": "*",
      "Resource": "*"
    }
  ]
}

Wenn ein Benutzer mit Administratorzugriff dann eine Anfrage für den Zugriff auf einen Amazon S3 S3-Bucket in der Instance sendet, wird kein Servicefehler zurückgegeben, obwohl Amazon S3 S3-Zugriff in der VPCE-Richtlinie nicht gewährt wird.

Beispiel: VPC-Endpunktrichtlinie für Cloud Control API-Aktionen

Im Folgenden finden Sie ein Beispiel für eine Endpunktrichtlinie für die Cloud Control API. Wenn diese Richtlinie an einen Endpunkt angehängt ist, gewährt sie allen Prinzipalen auf allen Ressourcen Zugriff auf die aufgelisteten Cloud Control API-Aktionen. Das folgende Beispiel verweigert allen Benutzern die Berechtigung, Ressourcen über den VPC-Endpunkt zu erstellen, und gewährt vollen Zugriff auf alle anderen Aktionen im Cloud Control API-Dienst.

{
  "Statement": [
    {
      "Action": "cloudformation:*",
      "Effect": "Allow",
      "Principal": "*",
      "Resource": "*"
    },
    {
      "Action": "cloudformation:CreateResource",
      "Effect": "Deny",
      "Principal": "*",
      "Resource": "*"
    }
  ]
}

Weitere Informationen finden Sie auch unter