Acceso a AWS Control Tower mediante un punto de conexión de interfaz (AWS PrivateLink) - AWS Control Tower
ConsideracionesCreación de un punto de conexión de interfazCreación de una política de punto de conexión

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Acceso a AWS Control Tower mediante un punto de conexión de interfaz (AWS PrivateLink)

Puede utilizarla AWS PrivateLink para crear una conexión privada entre su VPC y AWS Control Tower. Puede acceder a AWS Control Tower como si estuviera en su VPC, sin utilizar una pasarela de Internet, un dispositivo NAT, una conexión VPN o Direct Connect una conexión. Las instancias de la VPC no necesitan direcciones IP públicas para acceder a AWS Control Tower.

Esta conexión privada se establece mediante la creación de un punto de conexión de interfaz alimentado por AWS PrivateLink. Creamos una interfaz de red de punto de conexión en cada subred habilitada para el punto de conexión de interfaz. Se trata de interfaces de red administradas por el solicitante que sirven como punto de entrada para el tráfico destinado a AWS Control Tower.

Para obtener más información, consulte Acceso Servicios de AWS directo AWS PrivateLink en la AWS PrivateLink guía.

Antes de configurar un punto de conexión de interfaz para AWS Control Tower, consulte Consideraciones en la Guía de AWS PrivateLink.

AWS Control Tower admite la realización de llamadas a todas las acciones de la API a través del punto de conexión de interfaz.

Puede crear un punto final de interfaz para la Torre de Control de AWS mediante la consola Amazon VPC o el AWS Command Line Interface()AWS CLI. Para obtener más información, consulte Creación de un punto de conexión de interfaz en la Guía de AWS PrivateLink.

Cree un punto de conexión de interfaz para AWS Control Tower utilizando los siguientes nombres de servicio:

com.amazonaws.region.controltower
com.amazonaws.region.controltower-fips

Si habilita DNS privado para el punto de conexión de interfaz, puede realizar solicitudes a la API para AWS Control Tower usando su nombre de DNS predeterminado para la región. Por ejemplo, controltower.us-east-1.amazonaws.com.

Una política de punto de conexión es un recurso de IAM que puede adjuntar al punto de conexión de su interfaz. La política de puntos de conexión predeterminada permite acceso completo a AWS Control Tower a través del punto de conexión de interfaz. Para controlar el acceso permitido a AWS Control Tower desde la VPC, adjunte una política de puntos de conexión personalizada al punto de conexión de interfaz.

Una política de punto de conexión especifica la siguiente información:

  • Las entidades principales que pueden llevar a cabo acciones (Cuentas de AWS, usuarios de IAM y roles de IAM).

  • Las acciones que se pueden realizar.

  • El recurso en el que se pueden realizar las acciones.

Para obtener más información, consulte Control del acceso a los servicios con políticas de punto de conexión en la Guía del usuario de AWS PrivateLink.

Ejemplo: política de punto de conexión de VPC para acciones de AWS Control Tower

El siguiente es un ejemplo de una política de un punto de conexión personalizado. Cuando se asocia con un punto de conexión, esta política concede acceso a las acciones de AWS Control Tower mostradas para todas las entidades principales en todos los recursos.

{
   "Statement": [
      {
         "Principal": "*",
         "Effect": "Allow",
         "Action": [
            "controltower:ListEnabledControls",
            "controltower:ListLandingZones"
         ],
         "Resource":"*"
      }
   ]
}
nota

Para obtener una lista completa de operaciones de la API AWS Control Tower, consulte Referencia de la API AWS Control Tower.