Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Cloud Control API dan antarmuka VPC endpoint ()AWS PrivateLink
Anda dapat menggunakan AWS PrivateLink untuk membuat koneksi pribadi antara VPC Anda dan. AWS Cloud Control API Anda dapat mengakses Cloud Control API seolah-olah berada di VPC Anda, tanpa menggunakan gateway internet, perangkat NAT, koneksi VPN, atau koneksi. AWS Direct Connect Instans di VPC Anda tidak memerlukan alamat IP publik untuk mengakses Cloud Control API.
Anda membuat koneksi pribadi ini dengan membuat titik akhir antarmuka, yang didukung oleh AWS PrivateLink. Kami membuat antarmuka jaringan endpoint di setiap subnet yang Anda aktifkan untuk titik akhir antarmuka. Ini adalah antarmuka jaringan yang dikelola pemohon yang berfungsi sebagai titik masuk untuk lalu lintas yang ditujukan untuk Cloud Control API.
Cloud Control API mendukung panggilan ke semua tindakan API-nya melalui titik akhir antarmuka.
Pertimbangan untuk titik akhir VPC Cloud Control API
Sebelum Anda menyiapkan titik akhir VPC antarmuka untuk Cloud Control API, pertama-tama pastikan Anda telah memenuhi prasyarat dalam Access an service AWS menggunakan topik endpoint VPC antarmuka di Panduan.AWS PrivateLink
Membuat titik akhir VPC antarmuka untuk Cloud Control API
Anda dapat membuat titik akhir VPC untuk Cloud Control API menggunakan konsol VPC Amazon atau (). AWS Command Line Interface AWS CLI Untuk informasi selengkapnya, lihat Membuat titik akhir VPC di Panduan Pengguna AWS PrivateLink .
Buat endpoint antarmuka untuk Cloud Control API menggunakan nama layanan berikut:
-
com.amazonaws.
region.cloudcontrolapi
Jika Anda mengaktifkan DNS pribadi untuk titik akhir, Anda dapat membuat permintaan API ke Cloud Control API menggunakan nama DNS default untuk Wilayah, misalnya,. cloudcontrolapi.us-east-1.amazonaws.com
Untuk informasi selengkapnya, lihat Mengakses AWS layanan menggunakan titik akhir VPC antarmuka di Panduan Pengguna Amazon VPC.
Membuat kebijakan titik akhir VPC untuk Cloud Control API
Anda dapat melampirkan kebijakan titik akhir ke titik akhir VPC yang mengontrol akses ke Cloud Control API. Kebijakan titik akhir menentukan informasi berikut:
-
Prinsipal yang dapat melakukan tindakan.
-
Tindakan yang dapat dilakukan.
-
Sumber daya yang menjadi target tindakan.
Untuk informasi selengkapnya, lihat Mengontrol akses ke titik akhir VPC menggunakan kebijakan titik akhir di Panduan.AWS PrivateLink
penting
Detail kebijakan titik akhir VPCE tidak diteruskan ke layanan hilir apa pun yang dipanggil oleh Cloud Control API untuk evaluasi. Karena itu, kebijakan yang menentukan tindakan atau sumber daya milik layanan hilir tidak diberlakukan.
Misalnya, Anda membuat EC2 instance Amazon dalam instance VPC dengan titik akhir VPC untuk Cloud Control API di subnet tanpa akses Internet. Selanjutnya, Anda melampirkan kebijakan titik akhir VPC berikut ke VPCE:
{ "Statement": [ { "Action": [ "cloudformation:*", "ec2:*", "lambda:*" ] "Effect": "Allow", "Principal": "*", "Resource": "*" } ] }
Jika pengguna dengan akses administrator kemudian mengirim permintaan untuk mengakses bucket Amazon S3 dalam instance, tidak ada kesalahan layanan yang akan dikembalikan, meskipun akses Amazon S3 tidak diberikan dalam kebijakan VPCE.
Contoh: Kebijakan titik akhir VPC untuk tindakan Cloud Control API
Berikut ini adalah contoh kebijakan endpoint untuk Cloud Control API. Saat dilampirkan ke titik akhir, kebijakan ini memberikan akses ke tindakan Cloud Control API yang terdaftar untuk semua prinsipal di semua sumber daya. Contoh berikut menolak semua pengguna izin untuk membuat sumber daya melalui titik akhir VPC, dan memungkinkan akses penuh ke semua tindakan lain pada layanan Cloud Control API.
{ "Statement": [ { "Action": "cloudformation:*", "Effect": "Allow", "Principal": "*", "Resource": "*" }, { "Action": "cloudformation:CreateResource", "Effect": "Deny", "Principal": "*", "Resource": "*" } ] }
Lihat juga
