Consideraciones para los puntos de conexión de VPC de la API de control en la nube Creación del punto de conexión de VPC de la interfaz para la API de control en la nube Creación de una política de punto de conexión de VPC para la API de control en la nube Véase también

API de Cloud Control y puntos finales de VPC de interfaz ()AWS PrivateLink

Puede usarlo AWS PrivateLink para crear una conexión privada entre su VPC y. API de control de nube de AWS Puedes acceder a la API de Cloud Control como si estuviera en tu VPC, sin usar una puerta de enlace a Internet, un dispositivo NAT, una conexión VPN o AWS Direct Connect una conexión. Las instancias de tu VPC no necesitan direcciones IP públicas para acceder a la API de Cloud Control.

Esta conexión privada se establece mediante la creación de un punto de conexión de interfaz alimentado por AWS PrivateLink. Creamos una interfaz de red de punto de conexión en cada subred habilitada para el punto de conexión de interfaz. Se trata de interfaces de red administradas por el solicitante que sirven como punto de entrada para el tráfico destinado a la API de Cloud Control.

La API de Cloud Control permite realizar llamadas a todas sus acciones de API a través del punto final de la interfaz.

Consideraciones para los puntos de conexión de VPC de la API de control en la nube

Antes de configurar un punto de enlace de VPC de interfaz para la API de Cloud Control, asegúrate primero de cumplir los requisitos previos del tema Acceder a un AWS servicio mediante un punto de enlace de VPC de interfaz de la Guía.AWS PrivateLink

Creación del punto de conexión de VPC de la interfaz para la API de control en la nube

Puedes crear un punto de enlace de VPC para la API de Cloud Control mediante la consola Amazon VPC o el (). AWS Command Line Interface AWS CLI Para obtener más información, consulte Create a VPC endpoint (Creación de un punto de conexión de VPC) en la Guía de AWS PrivateLink .

Crea un punto final de interfaz para la API de Cloud Control con el siguiente nombre de servicio:

com.amazonaws. region.cloudcontrolapi

Si activa el DNS privado para el punto de conexión, puede llevar a cabo solicitudes a la API para la API de control en la nube usando su nombre de DNS predeterminado para la región, como cloudcontrolapi.us-east-1.amazonaws.com.

Para obtener más información, consulte Acceso a un servicio de AWS a través de un punto de conexión de VPC de interfaz en la Guía del usuario de Amazon VPC.

Creación de una política de punto de conexión de VPC para la API de control en la nube

Puede asociar una política de punto de conexión a su punto de conexión de VPC que controla el acceso a la API de control en la nube. La política especifica la siguiente información:

La entidad principal que puede realizar acciones.
Las acciones que se pueden realizar.
Los recursos en los que se pueden llevar a cabo las acciones.

Para obtener más información, consulte Uso de políticas de punto de conexión para controlar el acceso a puntos de conexión de VPC en la Guía de AWS PrivateLink .

importante

Los detalles de la política de punto de conexión de VPCE no se transmiten a ningún servicio posterior que invoque la API de control en la nube para su evaluación. Por este motivo, no se aplican las políticas que especifican acciones o recursos que pertenecen a servicios posteriores.

Por ejemplo, supongamos que has creado una instancia de Amazon en una EC2 instancia de VPC con un punto de enlace de VPC para la API de Cloud Control en una subred sin acceso a Internet. A continuación, debe asociar el siguiente punto de conexión de VPC a VPCE:


{
  "Statement": [
    {
      "Action": [
        "cloudformation:*",
        "ec2:*",
        "lambda:*"
      ]
      "Effect": "Allow",
      "Principal": "*",
      "Resource": "*"
    }
  ]
}

Si un usuario con acceso de administrador envía entonces una solicitud para acceder a un bucket de Amazon S3 de la instancia, no se devolverá ningún error de servicio, aunque la política de VPCE no conceda acceso a Amazon S3.

Ejemplo: política de punto de conexión de VPC para acciones de la API de control en la nube

A continuación, se muestra un ejemplo de una política de punto de conexión de la API de control en la nube. Cuando se asocia a un punto de conexión, esta política concede acceso a las acciones de la API de control en la nube mostradas para todas las entidades principales en todos los recursos. En el siguiente ejemplo, se deniega a todos los usuarios el permiso para crear recursos a través del punto de conexión de VPC y se permite el acceso completo a todas las demás acciones del servicio de la API de control en la nube.


{
  "Statement": [
    {
      "Action": "cloudformation:*",
      "Effect": "Allow",
      "Principal": "*",
      "Resource": "*"
    },
    {
      "Action": "cloudformation:CreateResource",
      "Effect": "Deny",
      "Principal": "*",
      "Resource": "*"
    }
  ]
}

Véase también

AWS servicios que se integran con AWS PrivateLink

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Seguridad

CloudFormation Ganchos