API Cloud Control e endpoint VPC di interfaccia ()AWS PrivateLink - Cloud Control API
Considerazioni sugli endpoint VPC dell'API Cloud ControlCreazione di un endpoint VPC di interfaccia per l'API Cloud ControlCreazione di una policy sugli endpoint VPC per l'API Cloud ControlConsulta anche

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

API Cloud Control e endpoint VPC di interfaccia ()AWS PrivateLink

Puoi usarlo AWS PrivateLink per creare una connessione privata tra il tuo VPC e. AWS Cloud Control API Puoi accedere all'API Cloud Control come se fosse nel tuo VPC, senza l'uso di un gateway Internet, un dispositivo NAT, una connessione VPN o una connessione. AWS Direct Connect Le istanze nel tuo VPC non necessitano di indirizzi IP pubblici per accedere all'API Cloud Control.

Stabilisci questa connessione privata creando un endpoint di interfaccia attivato da AWS PrivateLink. In ciascuna sottorete viene creata un'interfaccia di rete endpoint da abilitare per l'endpoint di interfaccia. Si tratta di interfacce di rete gestite dai richiedenti che fungono da punto di ingresso per il traffico destinato all'API Cloud Control.

L'API Cloud Control supporta l'esecuzione di chiamate a tutte le sue azioni API tramite l'endpoint dell'interfaccia.

Considerazioni sugli endpoint VPC dell'API Cloud Control

Prima di configurare un endpoint VPC di interfaccia per l'API Cloud Control, assicurati di aver soddisfatto i prerequisiti nell'argomento Accedere a un AWS servizio utilizzando un endpoint VPC con interfaccia nella Guida.AWS PrivateLink

Creazione di un endpoint VPC di interfaccia per l'API Cloud Control

Puoi creare un endpoint VPC per l'API Cloud Control utilizzando la console Amazon VPC o (). AWS Command Line Interface AWS CLI Per ulteriori informazioni, consulta la sezione Creazione di un endpoint VPC nella Guida di AWS PrivateLink .

Crea un endpoint di interfaccia per l'API Cloud Control utilizzando il seguente nome di servizio:

  • com.amazonaws. region.cloudcontrol api

Se abiliti il DNS privato per l'endpoint, puoi effettuare richieste API all'API Cloud Control utilizzando il nome DNS predefinito per la regione, ad esempio. cloudcontrolapi.us-east-1.amazonaws.com

Per ulteriori informazioni, consulta Accesso a un servizio AWS tramite un endpoint VPC dell'interfaccia nella Guida per l'utente di Amazon VPC.

Creazione di una policy sugli endpoint VPC per l'API Cloud Control

Puoi allegare una policy per gli endpoint al tuo endpoint VPC che controlla l'accesso all'API Cloud Control. La policy specifica le informazioni riportate di seguito:

  • Il principale che può eseguire operazioni.

  • Le azioni che possono essere eseguite.

  • Le risorse sui cui si possono eseguire azioni.

Per ulteriori informazioni, consulta Controllare l'accesso agli endpoint VPC utilizzando le policy degli endpoint nella Guida.AWS PrivateLink

Importante

I dettagli delle policy degli endpoint VPCE non vengono trasmessi a nessun servizio downstream richiamato dall'API Cloud Control per la valutazione. Per questo motivo, le politiche che specificano azioni o risorse che appartengono ai servizi a valle non vengono applicate.

Ad esempio, supponiamo di aver creato un' EC2 istanza Amazon in un'istanza VPC con un endpoint VPC per l'API Cloud Control in una sottorete senza accesso a Internet. Successivamente, si allega la seguente politica degli endpoint VPC al VPCE:

{
  "Statement": [
    {
      "Action": [
        "cloudformation:*",
        "ec2:*",
        "lambda:*"
      ]
      "Effect": "Allow",
      "Principal": "*",
      "Resource": "*"
    }
  ]
}

Se un utente con accesso da amministratore invia quindi una richiesta di accesso a un bucket Amazon S3 nell'istanza, non verrà restituito alcun errore di servizio, anche se l'accesso ad Amazon S3 non è concesso nella policy VPCE.

Esempio: policy degli endpoint VPC per le azioni dell'API Cloud Control

Di seguito è riportato un esempio di policy sugli endpoint per l'API Cloud Control. Se collegata a un endpoint, questa policy consente l'accesso alle azioni dell'API Cloud Control elencate per tutti i principali su tutte le risorse. L'esempio seguente nega a tutti gli utenti l'autorizzazione a creare risorse tramite l'endpoint VPC e consente l'accesso completo a tutte le altre azioni sul servizio API Cloud Control.

{
  "Statement": [
    {
      "Action": "cloudformation:*",
      "Effect": "Allow",
      "Principal": "*",
      "Resource": "*"
    },
    {
      "Action": "cloudformation:CreateResource",
      "Effect": "Deny",
      "Principal": "*",
      "Resource": "*"
    }
  ]
}

Consulta anche