Considerações Disponibilidade Crie um endpoint da Amazon VPC de interface Criar uma política de endpoint

API do Directory Service e os endpoints da Amazon VPC de interface usando o AWS PrivateLink

É possível usar um AWS PrivateLink para criar uma conexão privada entre a VPC e o Directory Service e as APIs do Directory Service Data. Isso permite que você acesse as APIs do Directory Service e do Directory Service Data como se estivessem na VPC, sem a necessidade de um gateway da internet, dispositivo NAT, conexão VPN ou conexão com o Direct Connect. As instâncias na Amazon VPC não precisam de endereços IP públicos para acessar as APIs do Directory Service e do Directory Service Data.

Você estabelece uma conexão privada criando um endpoint da Amazon VPC de interface alimentado pelo AWS PrivateLink. Criaremos um endpoint de interface de rede em cada sub-rede que você habilitar para o endpoint de interface. Essas são interfaces de rede gerenciadas pelo solicitante, que servem como ponto de entrada para o tráfego destinado ao AWS Directory Service e ao AWS Directory Service Data.

Para obter mais informações, consulte Acessar os Serviços da AWS pelo AWS PrivateLink no Guia do AWS PrivateLink.

Considerações sobre o Directory Service e o Directory Service Data

Com o Directory Service e o Directory Service Data, você pode chamar ações de API por meio de endpoints de interface. Para obter informações sobre os pré-requisitos que você precisará considerar antes de criar um endpoint de interface, consulte Acessar um AWS service (Serviço da AWS) usando um endpoint da Amazon VPC de interface no Guia do AWS PrivateLink.

Directory Service e disponibilidade do Directory Service Data

O Directory Service e o Directory Service Data oferecem suporte a endpoints de interface em todas as Regiões da AWS em que está disponível. Para obter informações sobre as Regiões da AWS que oferecem suporte ao Directory Service e ao Directory Service Data, consulte Region availability for Directory Service.

Criação de um endpoint da Amazon VPC de interface para o Directory Service e Directory Service Data

Você pode criar um endpoint de interface para as APIs do Directory Service e do Directory Service Data usando o console da Amazon VPC ou a AWS Command Line Interface (AWS CLI).

Exemplo: Directory Service

Crie um endpoint de interface para APIs do Directory Service usando o seguinte nome de serviço:


com.amazonaws.region.ds

Exemplo: Directory Service Data

Crie um endpoint de interface para as APIs do Directory Service Data usando o seguinte nome de serviço:


com.amazonaws.region.ds-data

Para obter mais informações sobre como criar um endpoint de interface, consulte Acessar um AWS service (Serviço da AWS) usando um endpoint da Amazon VPC de interface no Guia do AWS PrivateLink.

Crie uma política de endpoint da Amazon VPC para a o endpoint da Amazon VPC de interface

Uma política de endpoint é uma política de recurso do IAM que você anexa a um endpoint de interface.

nota

Se você não anexar uma política de endpoint ao endpoint de interface, o AWS PrivateLink anexará uma política de endpoint padrão ao endpoint de interface em seu nome. Para obter mais informações, consulte Conceitos do AWS PrivateLink.

Uma política de endpoint especifica as seguintes informações:

As entidades principais (Contas da AWS, usuários do IAM e perfis do IAM) que podem realizar ações
As ações que podem ser executadas
Os recursos nos quais as ações podem ser executadas

Para obter mais informações, consulte Controlar o acesso aos serviços usando políticas de endpoint no Guia do AWS PrivateLink.

Você pode controlar o acesso às APIs na Amazon VPC anexando uma política de endpoint personalizada ao endpoint de interface.

Exemplo: política do endpoint da Amazon VPC para ações da API do Directory Service

O exemplo a seguir refere-se a uma política de endpoint personalizada. Quando anexada ao endpoint da sua interface, essa política concede acesso às ações do Directory Service listadas para todas as entidades principais em todos os recursos.

Substitua action-1, action-2 e action-3 pelas permissões exigidas para as APIs do Directory Service que você deseja incluir na política. Para obter uma lista completa, consulte Directory ServicePermissões da API do : referência de ações, recursos e condições.


{
   "Statement": [
      {
         "Principal": "*",
         "Effect": "Allow",
         "Action": [
            "ds:action-1",
            "ds:action-2",
            "ds:action-3"
         ],
         "Resource":"*"
      }
   ]
}

Exemplo: política de endpoint da Amazon VPC para ações da API do Directory Service Data

Veja a seguir um exemplo de uma política de endpoint personalizado. Quando você anexa essa política ao endpoint de interface, ela concede acesso às ações do Directory Service Data listadas para todas as entidades principais em todos os recursos.

Substitua action-1, action-2 e action-3 pelas permissões necessárias para as APIs do Directory Service Data que você deseja incluir em sua política. Para obter uma lista completa, consulte Directory ServicePermissões da API do : referência de ações, recursos e condições.


{
   "Statement": [
      {
         "Principal": "*",
         "Effect": "Allow",
         "Action": [
            "ds-data:action-1",
            "ds-data:action-2",
            "ds-data:action-3"
         ],
         "Resource":"*"
      }
   ]
}

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Prevenção contra o ataque do “substituto confuso” em todos os serviços

Acordo de serviço