Considerações sobre endpoints da VPC da API de Controle da Nuvem Criar um endpoint da VPC de interface para a API de Controle da Nuvem Criar uma política de endpoint da VPC para a API de Controle da Nuvem Consulte também

API Cloud Control e interface VPC endpoints ()AWS PrivateLink

Você pode usar AWS PrivateLink para criar uma conexão privada entre sua VPC e. AWS API Cloud Control Você pode acessar a Cloud Control API como se estivesse em sua VPC, sem o uso de um gateway de internet, dispositivo NAT, conexão VPN ou conexão. AWS Direct Connect As instâncias na sua VPC não precisam de endereços IP públicos para acessar a API Cloud Control.

Estabeleça essa conectividade privada criando um endpoint de interface, habilitado pelo AWS PrivateLink. Criaremos um endpoint de interface de rede em cada sub-rede que você habilitar para o endpoint de interface. Essas são interfaces de rede gerenciadas pelo solicitante que servem como ponto de entrada para o tráfego destinado à API Cloud Control.

A Cloud Control API permite fazer chamadas para todas as ações da API por meio do endpoint da interface.

Considerações sobre endpoints da VPC da API de Controle da Nuvem

Antes de configurar uma interface VPC endpoint para a Cloud Control API, primeiro verifique se você atendeu aos pré-requisitos no tópico Acessar um serviço AWS usando uma interface VPC endpoint no Guia.AWS PrivateLink

Criar um endpoint da VPC de interface para a API de Controle da Nuvem

Você pode criar um VPC endpoint para a API Cloud Control usando o console Amazon VPC ou o (). AWS Command Line Interface AWS CLI Para obter mais informações, consulte Create a VPC endpoint (Criar um endpoint da VPC) no Guia do AWS PrivateLink .

Crie um endpoint de interface para a Cloud Control API usando o seguinte nome de serviço:

com.amazonaws. region.API de controle de nuvem

Se você habilitar o DNS privado para o endpoint, poderá fazer solicitações de API para a API de Controle da Nuvem usando seu nome DNS padrão para a região, por exemplo, cloudcontrolapi.us-east-1.amazonaws.com.

Para obter mais informações, consulte Acessar um serviço da AWS por meio de um endpoint da VPC de interface no Guia do usuário do Amazon VPC.

Criar uma política de endpoint da VPC para a API de Controle da Nuvem

É possível anexar uma política de endpoint ao endpoint da VPC que controla o acesso aa API de Controle da Nuvem. Essa política especifica as seguintes informações:

A entidade principal que pode realizar ações.
As ações que podem ser realizadas.
Os recursos aos quais as ações podem ser aplicadas.

Para obter mais informações, consulte Controlar o acesso aos endpoints da VPC usando políticas de endpoint no Guia AWS PrivateLink .

Importante

Os detalhes da política de endpoint do VPCE não são passados para nenhum serviço downstream invocado pela API de Controle da Nuvem para avaliação. Por esse motivo, as políticas que especificam ações ou recursos que pertencem aos serviços downstream não são aplicadas.

Por exemplo, suponha que você tenha criado uma EC2 instância da Amazon em uma instância de VPC com um endpoint de VPC para a API Cloud Control em uma sub-rede sem acesso à Internet. Em seguida, você anexa a seguinte política de endpoint da VPC ao VPCE:


{
  "Statement": [
    {
      "Action": [
        "cloudformation:*",
        "ec2:*",
        "lambda:*"
      ]
      "Effect": "Allow",
      "Principal": "*",
      "Resource": "*"
    }
  ]
}

Se um usuário com acesso de administrador enviar uma solicitação para acessar um bucket do Amazon S3 na instância, nenhum erro de serviço será retornado, mesmo que o acesso ao Amazon S3 não seja concedido na política do VPCE.

Exemplo: política de endpoint da VPC para ações da API de Controle da Nuvem

Veja a seguir um exemplo de uma política de endpoint da API de Controle da Nuvem. Quando anexada a um endpoint, essa política concede acesso às ações indicadas da API de Controle da Nuvem para todas as entidades principais em todos os recursos. O exemplo a seguir nega a todos os usuários a permissão para criar recursos por meio do endpoint da VPC e permite acesso total a todas as outras ações no serviça API de Controle da Nuvem.


{
  "Statement": [
    {
      "Action": "cloudformation:*",
      "Effect": "Allow",
      "Principal": "*",
      "Resource": "*"
    },
    {
      "Action": "cloudformation:CreateResource",
      "Effect": "Deny",
      "Principal": "*",
      "Resource": "*"
    }
  ]
}

Consulte também

AWS serviços que se integram com AWS PrivateLink

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Segurança

CloudFormation Ganchos