Considérations relatives aux points de terminaison VPC de l'API Cloud Control Création d'un point de terminaison VPC d'interface pour l'API Cloud Control Création d'une politique de point de terminaison VPC pour l'API Cloud Control Consultez aussi

API Cloud Control et points de terminaison VPC d'interface ()AWS PrivateLink

Vous pouvez l'utiliser AWS PrivateLink pour créer une connexion privée entre votre VPC et. API de commande du Cloud AWS Vous pouvez accéder à l'API Cloud Control comme si elle se trouvait dans votre VPC, sans passer par une passerelle Internet, un appareil NAT, une connexion VPN ou AWS Direct Connect une connexion. Les instances de votre VPC n'ont pas besoin d'adresses IP publiques pour accéder à l'API Cloud Control.

Vous établissez cette connexion privée en créant un point de terminaison d’interface optimisé par AWS PrivateLink. Nous créons une interface réseau de point de terminaison dans chaque sous-réseau que vous activez pour le point de terminaison d’interface. Il s'agit d'interfaces réseau gérées par les demandeurs qui servent de point d'entrée pour le trafic destiné à l'API Cloud Control.

L'API Cloud Control permet d'appeler toutes ses actions d'API via le point de terminaison de l'interface.

Considérations relatives aux points de terminaison VPC de l'API Cloud Control

Avant de configurer un point de terminaison VPC d'interface pour l'API Cloud Control, assurez-vous d'abord de remplir les conditions requises dans la rubrique Accès à un AWS service à l'aide d'un point de terminaison VPC d'interface du Guide.AWS PrivateLink

Création d'un point de terminaison VPC d'interface pour l'API Cloud Control

Vous pouvez créer un point de terminaison VPC pour l'API Cloud Control à l'aide de la console Amazon VPC ou du (). AWS Command Line Interface AWS CLI Pour plus d’informations, consultez Créer un point de terminaison d’un VPC dans le Guide AWS PrivateLink .

Créez un point de terminaison d'interface pour l'API Cloud Control en utilisant le nom de service suivant :

com.amazonaws. region.cloudcontrol api

Si vous activez le DNS privé pour le point de terminaison, vous pouvez envoyer des demandes d'API à l'API Cloud Control en utilisant son nom DNS par défaut pour la région, par exemple,cloudcontrolapi.us-east-1.amazonaws.com.

Pour de plus amples informations, consultez la rubrique Accédez à un service AWS à l’aide d’un point de terminaison de VPC d’interface dans le Guide de l’utilisateur Amazon VPC.

Création d'une politique de point de terminaison VPC pour l'API Cloud Control

Vous pouvez associer une politique de point de terminaison à votre point de terminaison VPC qui contrôle l'accès à l'API Cloud Control. La politique spécifie les informations suivantes :

Le principal qui peut exécuter des actions.
Les actions qui peuvent être effectuées.
Les ressources sur lesquelles les actions peuvent être exécutées.

Pour plus d'informations, consultez la section Contrôler l'accès aux points de terminaison VPC à l'aide des politiques relatives aux points de terminaison dans le Guide.AWS PrivateLink

Important

Les détails de la politique des points de terminaison VPCE ne sont transmis à aucun service en aval invoqué par l'API Cloud Control à des fins d'évaluation. De ce fait, les politiques spécifiant des actions ou des ressources appartenant aux services en aval ne sont pas appliquées.

Supposons, par exemple, que vous ayez créé une EC2 instance Amazon dans une instance VPC avec un point de terminaison VPC pour l'API Cloud Control dans un sous-réseau sans accès à Internet. Ensuite, vous associez la politique de point de terminaison VPC suivante au VPCE :


{
  "Statement": [
    {
      "Action": [
        "cloudformation:*",
        "ec2:*",
        "lambda:*"
      ]
      "Effect": "Allow",
      "Principal": "*",
      "Resource": "*"
    }
  ]
}

Si un utilisateur disposant d'un accès administrateur envoie ensuite une demande pour accéder à un compartiment Amazon S3 dans l'instance, aucune erreur de service ne sera renvoyée, même si l'accès à Amazon S3 n'est pas accordé dans la politique VPCE.

Exemple : politique de point de terminaison VPC pour les actions de l'API Cloud Control

Voici un exemple de politique de point de terminaison pour l'API Cloud Control. Lorsqu'elle est attachée à un point de terminaison, cette politique accorde l'accès aux actions de l'API Cloud Control répertoriées à tous les principaux sur toutes les ressources. L'exemple suivant refuse à tous les utilisateurs l'autorisation de créer des ressources via le point de terminaison VPC et autorise un accès complet à toutes les autres actions sur le service d'API Cloud Control.


{
  "Statement": [
    {
      "Action": "cloudformation:*",
      "Effect": "Allow",
      "Principal": "*",
      "Resource": "*"
    },
    {
      "Action": "cloudformation:CreateResource",
      "Effect": "Deny",
      "Principal": "*",
      "Resource": "*"
    }
  ]
}

Consultez aussi

AWS des services qui s'intègrent à AWS PrivateLink

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Sécurité

CloudFormation Crochets