Akses AWS Control Tower menggunakan titik akhir antarmuka ()AWS PrivateLink - AWS Control Tower
PertimbanganMembuat sebuah titik akhir antarmukaMembuat kebijakan titik akhir

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Akses AWS Control Tower menggunakan titik akhir antarmuka ()AWS PrivateLink

Anda dapat menggunakan AWS PrivateLink untuk membuat koneksi pribadi antara VPC dan AWS Control Tower. Anda dapat mengakses AWS Control Tower seolah-olah berada di VPC Anda, tanpa menggunakan gateway internet, perangkat NAT, koneksi VPN, atau koneksi. AWS Direct Connect Instans di VPC Anda tidak memerlukan alamat IP publik untuk mengakses AWS Control Tower.

Anda membuat koneksi pribadi ini dengan membuat titik akhir antarmuka, yang didukung oleh AWS PrivateLink. Kami membuat antarmuka jaringan endpoint di setiap subnet yang Anda aktifkan untuk titik akhir antarmuka. Ini adalah antarmuka jaringan yang dikelola oleh pemohon yang berfungsi sebagai titik masuk untuk lalu lintas yang ditujukan untuk AWS Control Tower.

Untuk informasi selengkapnya, lihat Akses Layanan AWS melalui AWS PrivateLink di AWS PrivateLink Panduan.

Sebelum Anda menyiapkan titik akhir antarmuka untuk AWS Control Tower, tinjau Pertimbangan dalam Panduan.AWS PrivateLink

AWS Control Tower mendukung panggilan ke semua tindakan API-nya melalui titik akhir antarmuka.

Anda dapat membuat titik akhir antarmuka untuk AWS Control Tower menggunakan konsol Amazon VPC atau AWS Command Line Interface ().AWS CLI Untuk informasi selengkapnya, lihat Membuat titik akhir antarmuka di AWS PrivateLink Panduan.

Buat titik akhir antarmuka untuk AWS Control Tower menggunakan nama layanan berikut:

com.amazonaws.region.controltower
com.amazonaws.region.controltower-fips

Jika Anda mengaktifkan DNS pribadi untuk titik akhir antarmuka, Anda dapat membuat permintaan API ke AWS Control Tower menggunakan nama DNS Regional defaultnya. Misalnya, controltower.us-east-1.amazonaws.com.

Kebijakan endpoint adalah sumber daya IAM yang dapat Anda lampirkan ke titik akhir antarmuka. Kebijakan endpoint default memungkinkan akses penuh ke AWS Control Tower melalui titik akhir antarmuka. Untuk mengontrol akses yang diizinkan ke AWS Control Tower dari VPC Anda, lampirkan kebijakan titik akhir khusus ke titik akhir antarmuka.

kebijakan titik akhir mencantumkan informasi berikut:

  • Prinsipal yang dapat melakukan tindakan (Akun AWS, pengguna IAM, dan peran IAM).

  • Tindakan yang dapat dilakukan.

  • Sumber daya untuk melakukan tindakan.

Untuk informasi selengkapnya, lihat Mengontrol akses ke layanan menggunakan kebijakan titik akhir di Panduan AWS PrivateLink .

Contoh: Kebijakan titik akhir VPC untuk tindakan AWS Control Tower

Berikut ini adalah contoh kebijakan endpoint kustom. Saat Anda melampirkan kebijakan ini ke titik akhir antarmuka Anda, kebijakan ini memberikan akses ke tindakan AWS Control Tower yang terdaftar untuk semua prinsipal di semua sumber daya.

{
   "Statement": [
      {
         "Principal": "*",
         "Effect": "Allow",
         "Action": [
            "controltower:ListEnabledControls",
            "controltower:ListLandingZones"
         ],
         "Resource":"*"
      }
   ]
}
catatan

Untuk daftar lengkap operasi AWS Control Tower API, lihat Referensi API AWS Control Tower.