Akses AWS Application Discovery Service menggunakan endpoint antarmuka ()AWS PrivateLink - AWS Application Discovery Service
PertimbanganMembuat sebuah titik akhir antarmukaMembuat kebijakan titik akhirMenggunakan titik akhir VPC untuk Agentless Collector dan Application Discovery Agent AWS

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Akses AWS Application Discovery Service menggunakan endpoint antarmuka ()AWS PrivateLink

Anda dapat menggunakan AWS PrivateLink untuk membuat koneksi pribadi antara VPC Anda dan. AWS Application Discovery Service Anda dapat mengakses Application Discovery Service seolah-olah berada di VPC Anda, tanpa menggunakan gateway internet, perangkat NAT, koneksi VPN, atau koneksi. AWS Direct Connect Instans di VPC Anda tidak memerlukan alamat IP publik untuk mengakses Application Discovery Service.

Anda membuat koneksi pribadi ini dengan membuat titik akhir antarmuka, yang didukung oleh AWS PrivateLink. Kami membuat antarmuka jaringan endpoint di setiap subnet yang Anda aktifkan untuk titik akhir antarmuka. Ini adalah antarmuka jaringan yang dikelola oleh permintaan yang berfungsi sebagai titik masuk untuk lalu lintas yang ditujukan untuk Application Discovery Service.

Untuk informasi selengkapnya, lihat Mengakses Layanan AWS melalui AWS PrivateLink di Panduan AWS PrivateLink .

Pertimbangan untuk Application Discovery Service

Sebelum Anda menyiapkan titik akhir antarmuka untuk Application Discovery Service, tinjau Akses AWS layanan menggunakan titik akhir VPC antarmuka di Panduan.AWS PrivateLink

Application Discovery Service mendukung dua antarmuka: Satu untuk melakukan panggilan ke semua tindakan API-nya, dan yang kedua untuk Agentless Collector dan AWS Application Discovery Agent untuk mengirim data penemuan.

Membuat sebuah titik akhir antarmuka

Anda dapat membuat titik akhir antarmuka menggunakan konsol VPC Amazon atau () AWS Command Line Interface .AWS CLIUntuk informasi selengkapnya, lihat Mengakses AWS layanan menggunakan titik akhir VPC antarmuka di Panduan.AWS PrivateLink

For Application Discovery Service

Buat endpoint antarmuka untuk Application Discovery Service menggunakan nama layanan berikut:

com.amazonaws.region.discovery

Jika Anda mengaktifkan DNS pribadi untuk titik akhir antarmuka, Anda dapat membuat permintaan API ke Application Discovery Service menggunakan nama DNS Regional default. Misalnya, discovery.us-east-1.amazonaws.com.

For Agentless Collector and AWS Application Discovery Agent

Buat endpoint antarmuka menggunakan nama layanan berikut:

com.amazonaws.region.arsenal-discovery

Jika Anda mengaktifkan DNS pribadi untuk titik akhir antarmuka, Anda dapat membuat permintaan API ke Application Discovery Arsenal menggunakan nama DNS Regional default. Misalnya, arsenal-discovery.us-east-1.amazonaws.com.

Buat kebijakan titik akhir untuk titik akhir antarmuka Anda

Kebijakan endpoint adalah sumber daya IAM yang dapat Anda lampirkan ke titik akhir antarmuka. Kebijakan endpoint default memungkinkan akses penuh ke AWS layanan melalui titik akhir antarmuka. Untuk mengontrol akses yang diizinkan ke AWS layanan dari VPC Anda, lampirkan kebijakan titik akhir kustom ke titik akhir antarmuka.

kebijakan titik akhir mencantumkan informasi berikut:

  • Prinsipal yang dapat melakukan tindakan (Akun AWS, pengguna IAM, dan peran IAM).

  • Tindakan yang dapat dilakukan.

Untuk informasi selengkapnya, lihat Mengontrol akses ke layanan menggunakan kebijakan titik akhir di Panduan AWS PrivateLink .

Contoh: kebijakan titik akhir VPC

Berikut ini adalah contoh kebijakan endpoint kustom. Saat Anda melampirkan kebijakan ini ke titik akhir antarmuka Anda, kebijakan ini akan memberikan akses ke tindakan yang tercantum untuk semua prinsip di semua sumber daya.

Example policy for Application Discovery Service
{
   "Statement": [
      {
         "Principal": "*",
         "Effect": "Allow",
         "Action": [
            "discovery:action-1",
            "discovery:action-2",
            "discovery:action-3"
         ],
         "Resource":"*"
      }
   ]
}
Example policy for the Agentless Collector and AWS Application Discovery Agent
{
   "Statement": [
      {
         "Principal": "*",
         "Effect": "Allow",
         "Action": [
            "arsenal:RegisterOnPremisesAgent"
         ],
         "Resource":"*"
      }
   ]
}

Menggunakan titik akhir VPC untuk Agentless Collector dan Application Discovery Agent AWS

Agentless Collector dan AWS Application Discovery Agent tidak mendukung endpoint yang dapat dikonfigurasi. Sebagai gantinya, gunakan fitur DNS pribadi untuk titik akhir VPC arsenal-discovery Amazon.

  • Siapkan tabel AWS Direct Connect rute untuk merutekan alamat IP AWS pribadi ke VPC. Misalnya, tujuan = 10.0.0.0/8 dan target = lokal. Untuk pengaturan ini, Anda memerlukan setidaknya perutean untuk alamat IP pribadi titik akhir VPC arsenal-discovery Amazon ke VPC.

  • Gunakan fitur DNS pribadi titik akhir VPC arsenal-discovery Amazon karena Agentless Collector tidak mendukung titik akhir Arsenal yang dapat dikonfigurasi.

  • Siapkan titik akhir VPC arsenal-discovery Amazon di subnet pribadi dengan VPC yang sama dengan tempat Anda merutekan lalu lintas. AWS Direct Connect

  • Siapkan titik akhir VPC arsenal-discovery Amazon dengan grup keamanan yang memungkinkan lalu lintas masuk dari dalam VPC (misalnya, 10.0.0.0/8).

  • Siapkan resolver masuk Amazon Route 53 untuk merutekan resolusi DNS untuk nama DNS pribadi titik akhir arsenal-discovery VPC Amazon, yang akan menyelesaikan ke IP pribadi titik akhir VPC. Jika Anda tidak melakukannya, kolektor akan melakukan resolusi DNS dengan menggunakan resolver lokal dan akan menggunakan endpoint Arsenal publik, dan lalu lintas tidak akan melalui VPC.

  • Jika Anda menonaktifkan semua lalu lintas publik, fitur pembaruan otomatis akan gagal. Itu karena Kolektor Tanpa Agen mengambil pembaruan dengan mengirimkan permintaan ke titik akhir Amazon ECR. Agar fitur pembaruan otomatis berfungsi tanpa mengirim permintaan melalui internet publik, siapkan titik akhir VPC untuk layanan Amazon ECR dan aktifkan fitur DNS pribadi untuk titik akhir ini.