Accedi ad AWS Control Tower utilizzando un endpoint di interfaccia ()AWS PrivateLink - AWS Control Tower
ConsiderazioniCreazione di un endpoint di interfacciaCreazione di una policy dell'endpoint

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Accedi ad AWS Control Tower utilizzando un endpoint di interfaccia ()AWS PrivateLink

Puoi usarlo AWS PrivateLink per creare una connessione privata tra il tuo VPC e AWS Control Tower. Puoi accedere ad AWS Control Tower come se fosse nel tuo VPC, senza l'uso di un gateway Internet, un dispositivo NAT, una connessione VPN o una connessione. AWS Direct Connect Le istanze nel tuo VPC non necessitano di indirizzi IP pubblici per accedere ad AWS Control Tower.

Stabilisci questa connessione privata creando un endpoint di interfaccia attivato da AWS PrivateLink. In ciascuna sottorete viene creata un'interfaccia di rete endpoint da abilitare per l'endpoint di interfaccia. Si tratta di interfacce di rete gestite dai richiedenti che fungono da punto di ingresso per il traffico destinato ad AWS Control Tower.

Per ulteriori informazioni, consulta Access Servizi AWS through AWS PrivateLink nella Guida.AWS PrivateLink

Prima di configurare un endpoint di interfaccia per AWS Control Tower, consulta le considerazioni nella AWS PrivateLink Guida.

AWS Control Tower supporta l'esecuzione di chiamate a tutte le sue azioni API tramite l'endpoint dell'interfaccia.

Puoi creare un endpoint di interfaccia per AWS Control Tower utilizzando la console Amazon VPC o AWS Command Line Interface ().AWS CLI Per ulteriori informazioni, consulta la sezione Creazione di un endpoint di interfaccia nella Guida per l'utente di AWS PrivateLink .

Crea un endpoint di interfaccia per AWS Control Tower utilizzando i seguenti nomi di servizio:

com.amazonaws.region.controltower
com.amazonaws.region.controltower-fips

Se abiliti il DNS privato per l'endpoint dell'interfaccia, puoi effettuare richieste API ad AWS Control Tower utilizzando il nome DNS regionale predefinito. Ad esempio, controltower.us-east-1.amazonaws.com.

Una policy dell'endpoint è una risorsa IAM che è possibile allegare all'endpoint dell'interfaccia. La policy predefinita per gli endpoint consente l'accesso completo a AWS Control Tower tramite l'endpoint dell'interfaccia. Per controllare l'accesso consentito ad AWS Control Tower dal tuo VPC, collega una policy personalizzata per gli endpoint all'endpoint dell'interfaccia.

Una policy di endpoint specifica le informazioni riportate di seguito:

  • I principali che possono eseguire azioni (Account AWS, utenti IAM e ruoli IAM).

  • Le azioni che possono essere eseguite.

  • Le risorse in cui è possibile eseguire le operazioni.

Per ulteriori informazioni, consulta la sezione Controllo dell'accesso ai servizi con policy di endpoint nella Guida di AWS PrivateLink .

Esempio: policy sugli endpoint VPC per le azioni di AWS Control Tower

Di seguito è riportato l'esempio di una policy dell'endpoint personalizzata. Quando colleghi questa policy all'endpoint dell'interfaccia, concede l'accesso alle azioni AWS Control Tower elencate per tutti i principali su tutte le risorse.

{
   "Statement": [
      {
         "Principal": "*",
         "Effect": "Allow",
         "Action": [
            "controltower:ListEnabledControls",
            "controltower:ListLandingZones"
         ],
         "Resource":"*"
      }
   ]
}
Nota

Per un elenco completo delle operazioni dell'API AWS Control Tower, consulta l'AWS Control Tower API Reference.