Accédez à AWS Control Tower à l'aide d'un point de terminaison d'interface (AWS PrivateLink) - AWS Control Tower
ConsidérationsCréation d’un point de terminaison d’interfaceCréation d’une politique de point de terminaison

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Accédez à AWS Control Tower à l'aide d'un point de terminaison d'interface (AWS PrivateLink)

Vous pouvez l'utiliser AWS PrivateLink pour créer une connexion privée entre votre VPC et AWS Control Tower. Vous pouvez accéder à AWS Control Tower comme si elle se trouvait dans votre VPC, sans passer par une passerelle Internet, un appareil NAT, une connexion VPN ou AWS Direct Connect une connexion. Les instances de votre VPC n'ont pas besoin d'adresses IP publiques pour accéder à AWS Control Tower.

Vous établissez cette connexion privée en créant un point de terminaison d’interface optimisé par AWS PrivateLink. Nous créons une interface réseau de point de terminaison dans chaque sous-réseau que vous activez pour le point de terminaison d’interface. Il s'agit d'interfaces réseau gérées par les demandeurs qui servent de point d'entrée pour le trafic destiné à AWS Control Tower.

Pour plus d'informations, consultez la section Accès Services AWS par AWS PrivateLink le biais du AWS PrivateLink guide.

Avant de configurer un point de terminaison d'interface pour AWS Control Tower, consultez les considérations du AWS PrivateLink guide.

AWS Control Tower permet d'appeler toutes ses actions d'API via le point de terminaison de l'interface.

Vous pouvez créer un point de terminaison d'interface pour AWS Control Tower à l'aide de la console Amazon VPC ou du AWS Command Line Interface ()AWS CLI. Pour plus d’informations, consultez Création d’un point de terminaison d’interface dans le Guide AWS PrivateLink .

Créez un point de terminaison d'interface pour AWS Control Tower à l'aide des noms de service suivants :

com.amazonaws.region.controltower
com.amazonaws.region.controltower-fips

Si vous activez le DNS privé pour le point de terminaison de l'interface, vous pouvez envoyer des demandes d'API à AWS Control Tower en utilisant son nom DNS régional par défaut. Par exemple, controltower.us-east-1.amazonaws.com.

Une politique de point de terminaison est une ressource IAM que vous pouvez attacher à votre point de terminaison d’interface. La politique de point de terminaison par défaut autorise un accès complet à AWS Control Tower via le point de terminaison de l'interface. Pour contrôler l'accès autorisé à AWS Control Tower depuis votre VPC, associez une politique de point de terminaison personnalisée au point de terminaison de l'interface.

Une politique de point de terminaison spécifie les informations suivantes :

  • Les principaux qui peuvent effectuer des actions (Comptes AWS, utilisateurs IAM et rôles IAM).

  • Les actions qui peuvent être effectuées.

  • La ressource sur laquelle les actions peuvent être effectuées.

Pour plus d’informations, consultez Contrôle de l’accès aux services à l’aide de politiques de point de terminaison dans le Guide AWS PrivateLink .

Exemple : politique de point de terminaison VPC pour les actions d'AWS Control Tower

Voici un exemple de politique de point de terminaison personnalisée. Lorsque vous associez cette politique au point de terminaison de votre interface, elle accorde l'accès aux actions AWS Control Tower répertoriées à tous les principaux sur toutes les ressources.

{
   "Statement": [
      {
         "Principal": "*",
         "Effect": "Allow",
         "Action": [
            "controltower:ListEnabledControls",
            "controltower:ListLandingZones"
         ],
         "Resource":"*"
      }
   ]
}
Note

Pour obtenir la liste complète des opérations de l'API AWS Control Tower, consultez le document de référence sur les API AWS Control Tower.