Creación de una conexión privada entre una VPC y las API directas de EBS - Amazon EBS
Consideraciones sobre los puntos de enlace de la VPC de las API directas de EBSCreación de un punto de enlace de la VPC de interfaz para las API directas de EBS

Creación de una conexión privada entre una VPC y las API directas de EBS

Puede establecer una conexión privada entre la VPC y las API directas de EBS mediante la creación de un punto de conexión de VPC de interfaz basado en AWS PrivateLink Puede acceder a las API directas de EBS como si estuvieran en su VPC, sin necesidad de utilizar una puerta de enlace de Internet, un dispositivo NAT, una conexión VPN ni una conexión de AWS Direct Connect. Las instancias de la VPC no necesitan direcciones IP públicas para comunicarse con las API directas de EBS.

Creamos una interfaz de red de punto de conexión en cada subred habilitada para el punto de conexión de interfaz.

Para obtener más información, consulte Access Servicios de AWS through AWS PrivateLink (Acceso a a través de ) en la Guía de AWS PrivateLink.

Consideraciones sobre los puntos de enlace de la VPC de las API directas de EBS

Antes de configurar un punto de conexión de VPC de interfaz para las API directas de EBS, consulte Considerations (Consideraciones) en la Guía de AWS PrivateLink.

De forma predeterminada, se permite el acceso completo a las API directas de EBS a través del punto de enlace. Puede controlar el acceso al punto de conexión de la interfaz mediante políticas de punto de conexión de VPC. Puede asociar una política de punto de conexión con el punto de conexión de VPC que controla el acceso a las API directas de EBS. La política especifica la siguiente información:

  • La entidad principal que puede realizar acciones.

  • Las acciones que se pueden realizar.

  • Los recursos en los que se pueden llevar a cabo las acciones.

Para obtener más información, consulte Control del acceso a servicios con puntos de enlace de la VPC en la Guía del usuario de Amazon VPC.

A continuación, se muestra un ejemplo de una política de punto de conexión para las API directas de EBS. Cuando se asocia con un punto de conexión, esta política concede acceso a todas las acciones directas de las API de EBS en cualquier recurso, excepto las instantáneas etiquetadas con clave Environment y valor Test.

{
    "Statement": [
        {
            "Effect": "Deny",
            "Action": "ebs:*",
            "Principal": "*",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/Environment": "Test"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "ebs:*",
            "Principal": "*",
            "Resource": "*"
        }
    ]
}

Creación de un punto de enlace de la VPC de interfaz para las API directas de EBS

Puede crear un punto de enlace de la VPC para el servicio de API directas de EBS mediante la consola de Amazon VPC o la AWS Command Line Interface (AWS CLI). Para obtener más información, consulte Create a VPC endpoint (Creación de un punto de conexión de VPC) en la Guía de AWS PrivateLink.

Cree un punto de conexión de VPC para las API directas de EBS mediante uno de los siguientes nombres de servicio:

  • com.amazonaws.region.ebs

  • com.amazonaws.region.ebs-fips: crear un punto de conexión de VPC de interfaz que cumpla la norma de Estándares Federales de Procesamiento de Información (FIPS) Publicación 140-2 del gobierno de los Estados Unidos.

    nota

    Se pueden crear puntos de conexión de VPC de interfaz compatible con FIPS para las siguientes regiones: us-east-1 | us-east-2 | us-west-1 | us-west-2 | ca-central-1 | ca-west-1. Los puntos de conexión de VPC de interfaz compatible con FIPS admiten el tráfico de IPv4 e IPv6.

Si habilita el DNS privado para el punto de conexión, puede efectuar solicitudes de API a las API directas de EBS utilizando su nombre de DNS predeterminado para la región como, por ejemplo, ebs.us-east-1.amazonaws.com.