As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá. # Usar políticas de endpoint para controlar o acesso com VPC endpoints Este tópico explica como anexar uma política a endpoints de VPC para controlar o acesso à sua aplicação (serviço) e ao ambiente Elastic Beanstalk. Uma política de endpoint é uma política de recursos AWS Identity and Access Management (IAM) que controla o acesso do endpoint ao serviço especificado. A política de endpoint é específica ao endpoint. Ela é separada de outras políticas do IAM de usuário ou instância que seu ambiente possa ter e não as substitui. Por padrão, um VPC endpoint permite acesso total ao serviço ao qual está associado. Ao criar ou modificar um endpoint, você pode anexar uma *política de endpoint* para controlar o acesso a recursos específicos associados ao serviço. Para obter detalhes sobre a criação e o uso de políticas de endpoint de VPC, consulte [Controle o acesso aos endpoints da VPC usando políticas de endpoint](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html) no *Guia do AWS PrivateLink *. **nota** Ao criar políticas de endpoint restritivas, talvez você precise adicionar permissões específicas aos recursos necessários para que o acesso a esses recursos não seja bloqueado pela política de endpoint. Isso garante que seu ambiente continue a ser implementado e funcione adequadamente. O exemplo a seguir nega a todos os usuários a permissão para encerrar um ambiente por meio do VPC endpoint e permite acesso total a todas as outras ações. ``` { "Statement": [ { "Action": "*", "Effect": "Allow", "Resource": "*", "Principal": "*" }, { "Action": "elasticbeanstalk:TerminateEnvironment", "Effect": "Deny", "Resource": "*", "Principal": "*" } ] } ``` ## Permissões de bucket do Amazon S3 necessárias para políticas restritivas de endpoint de VPC Se você adicionar restrições às suas políticas de endpoint de VPC, deverá incluir permissões específicas de bucket do Amazon S3 para garantir que o ambiente continue a ser implantado e funcione adequadamente. Esta seção explica os buckets S3 necessários e inclui exemplos de políticas. **Topics** + [Buckets do S3 que armazenam ativos para gerenciar plataformas de ambiente](#AWSHowTo.S3.VPCendpoints.required-permissions.assets) + [S3 Buckets de propriedade da CloudFormation](#AWSHowTo.S3.VPCendpoints.required-permissions.cloudformation) + [Buckets do S3 pertencentes a contas de clientes para armazenar código-fonte e outros itens](#AWSHowTo.S3.VPCendpoints.required-permissions.items) + [Buckets do S3 pertencentes a contas de clientes para oferecer suporte à autenticação de registro do Docker](#AWSHowTo.S3.VPCendpoints.required-permissions.docker-auth) + [Atualizar sua política de endpoint de VPC](#AWSHowTo.S3.VPCendpoints.required-permissions.assets.permissions) ### Buckets do S3 que armazenam ativos para gerenciar plataformas de ambiente O serviço Elastic Beanstalk possui buckets do S3 que armazenam os ativos associados a uma pilha de soluções (versão da plataforma). Esses ativos incluem arquivos de configuração, a aplicação de exemplo e os tipos de instância disponíveis. Quando o Elastic Beanstalk cria e gerencia seu ambiente, ele recupera as informações necessárias para a versão específica da plataforma do bucket de ativos para cada correspondente. Região da AWS #### ARN do bucket do S3 `arn:aws:s3:::elasticbeanstalk-samples-{{region}}` Amazon Linux 2 e posterior + `arn:aws:s3:::elasticbeanstalk-platform-assets-{{region}}` **nota** O nome do bucket segue uma convenção diferente para a região *BJS*. A string *public-beta-cn-north-1* é usada no lugar de{{region}}. Por exemplo, .`arn:aws:s3:::elasticbeanstalk-platform-assets-public-beta-cn-north-1` Windows Server, Amazon Linux (AMI), Amazon Linux 2 e versões posteriores + `arn:aws:s3:::elasticbeanstalk-env-resources-{{region}}` + `arn:aws:s3:::elasticbeanstalk-{{region}}` **nota** Os nomes dos buckets para platform-assets e env-resources seguem convenções diferentes em algumas regiões. Consulte a seção de padrões de nomenclatura de bucket específicos da região abaixo para obter detalhes. ##### Padrões de ARN de buckets específicos da região - **me-central-1** - **Tipo de bucket:** platform-assets / **Padrão do ARN de buckets:** arn:aws:s3:::elasticbeanstalk-platform-assets-me-central-1-f08b818c - **Tipo de bucket:** env-resources / **Padrão do ARN de buckets:** arn:aws:s3:::elasticbeanstalk-env-resources-me-central-1-f08b818c #### Operações GetObject #### Exemplo de política de endpoint de VPC O exemplo a seguir ilustra como fornecer acesso aos buckets do S3 necessários para operações do Elastic Beanstalk na região Leste dos EUA (Ohio) (us-east-2). O exemplo lista todos os buckets das plataformas Amazon Linux e Windows Server. Atualize sua política para incluir apenas os buckets que se aplicam ao sistema operacional do ambiente. ##### Exemplo de política **Importante** Recomendamos que você evite usar caracteres curinga (\*) no lugar das regiões específicas nessa política. Por exemplo, use `arn:aws:s3:::cloudformation-waitcondition-us-east-2/*` e não use `arn:aws:s3:::cloudformation-waitcondition-*/*`. O uso de curingas pode fornecer acesso a buckets do S3 aos quais você não pretende conceder acesso. Se você quiser usar a política para mais de uma região, recomendamos repetir o primeiro bloco `Statement` para cada região. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "AllowRequestsToAWSResources", "Effect": "Allow", "Principal": {"AWS": "*"}, "Action": ["s3:GetObject"], "Resource": [ "arn:aws:s3:::elasticbeanstalk-platform-assets-{{us-east-2}}/*", "arn:aws:s3:::elasticbeanstalk-env-resources-{{us-east-2}}/*", "arn:aws:s3:::elasticbeanstalk-env-resources-{{us-east-2}}/*", "arn:aws:s3:::elasticbeanstalk-samples-{{us-east-2}}/*" ] } ] } ``` ------ ### S3 Buckets de propriedade da CloudFormation O Elastic CloudFormation Beanstalk usa para criar recursos para seu ambiente. CloudFormation possui buckets S3 em cada um Região da AWS para monitorar as respostas às condições de espera. Serviços como o Elastic Beanstalk CloudFormation se comunicam enviando solicitações para uma URL pré-assinada do Amazon S3 para o bucket do S3 que possui. CloudFormation CloudFormation cria a URL pré-assinada do Amazon S3 usando `cloudformation.amazonaws.com` o principal do serviço. *Para obter informações mais detalhadas, consulte [Considerações sobre CloudFormation VPC](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-vpce-bucketnames.html#cfn-setting-up-vpc-considerations) endpoints no AWS CloudFormation Guia do usuário.* Para saber mais sobre pré-assinados URLs, consulte Como [trabalhar com pré-assinados URLs no Guia](https://docs.aws.amazon.com/AmazonS3/latest/userguide/using-presigned-url.html) do usuário do *Amazon S3*. #### ARN do bucket do S3 + `arn:aws:s3:::cloudformation-waitcondition-{{region}}` Ao usar condições de espera, os nomes de região contêm traços. Por exemplo, *Oeste-EUA-2*. + `arn:aws:s3:::cloudformation-custom-resource-response-{{region}}` Ao usar recursos personalizados, os nomes de região não contêm traços. Por exemplo: *uswest2*. #### Operações GetObject #### Exemplo de política de endpoint de VPC O exemplo a seguir ilustra como fornecer acesso aos buckets do S3 necessários para operações do Elastic Beanstalk na região Leste dos EUA (Ohio) (us-east-2). ##### Exemplo de política **Importante** Recomendamos que você evite usar caracteres curinga (\*) no lugar das regiões específicas nessa política. Por exemplo, use `arn:aws:s3:::cloudformation-waitcondition-us-east-2/*` e não use `arn:aws:s3:::cloudformation-waitcondition-*/*`. O uso de curingas pode fornecer acesso a buckets do S3 aos quais você não pretende conceder acesso. Se você quiser usar a política para mais de uma região, recomendamos repetir o primeiro bloco `Statement` para cada região. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "AllowRequestsToCloudFormation", "Effect": "Allow", "Principal": {"AWS": "*"}, "Action": ["s3:GetObject"], "Resource": [ "arn:aws:s3:::cloudformation-waitcondition-{{us-east-2}}/*", "arn:aws:s3:::cloudformation-custom-resource-response-{{us-east-2}}/*" ] } ] } ``` ------ ### Buckets do S3 pertencentes a contas de clientes para armazenar código-fonte e outros itens Esse bucket é de propriedade da conta do AWS cliente que é proprietária do ambiente. Ele armazena recursos específicos do seu ambiente, como código-fonte e logs solicitados. #### ARN do bucket do S3 `arn:aws:s3:::elasticbeanstalk-{{region}}-{{account-id}}` #### Operações + GetObject + GetObjectAcl + PutObject + PutObjectAcl + ListBucket #### Exemplo de política de endpoint de VPC O exemplo a seguir ilustra como fornecer acesso aos buckets do S3 necessários para as operações do Elastic Beanstalk na região Leste dos EUA (Ohio) (us-east-2) e para o exemplo de ID de conta 123456789012. AWS ##### Exemplo de política **Importante** Recomendamos que você evite usar caracteres curinga (\*) no lugar das regiões específicas nessa política. Por exemplo, use `arn:aws:s3:::cloudformation-waitcondition-us-east-2/*` e não use `arn:aws:s3:::cloudformation-waitcondition-*/*`. O uso de curingas pode fornecer acesso a buckets do S3 aos quais você não pretende conceder acesso. Se você quiser usar a política para mais de uma região, recomendamos repetir o primeiro bloco `Statement` para cada região. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "AllowRequestsToCustomerItems", "Effect": "Allow", "Principal": {"AWS": "*"}, "Action": [ "s3:GetObject", "s3:GetObjectAcl", "s3:PutObject", "s3:PutObjectAcl", "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::elasticbeanstalk-{{us-east-2}}-{{123456789012}}/*" ] } ] } ``` ------ ### Buckets do S3 pertencentes a contas de clientes para oferecer suporte à autenticação de registro do Docker Esse bucket só se aplica a ambientes baseados na plataforma Docker. O bucket armazena um arquivo usado para autenticação em um registro privado do Docker que reside em um bucket do S3 provisionado pelo cliente. Para obter mais informações, consulte [Usando o arquivo `Dockerrun.aws.json` v3](docker-configuration.remote-repo.md#docker-configuration.remote-repo.dockerrun-aws) no capítulo sobre a plataforma Docker deste guia. #### ARN do bucket do S3 O ARN varia de acordo com a conta do cliente. O ARN do bucket do S3 tem o seguinte formato: `arn:aws:s3:::{{bucket-name}}` #### Operações GetObject #### Exemplo de política de endpoint de VPC O exemplo a seguir ilustra como fornecer acesso a um bucket do S3 com o nome amzn-s3-demo-bucket1. ##### Exemplo de política ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "AllowRequestsToDockerRegistryAuth", "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::{{amzn-s3-demo-bucket1}}" ] } ] } ``` ------ ### Atualizar sua política de endpoint de VPC Como um endpoint de VPC tem apenas uma política anexada, você deve combinar todas as permissões em uma única política. O exemplo a seguir fornece todos os exemplos anteriores combinados em um só. Para obter detalhes sobre a criação e o uso de políticas de endpoint de VPC, consulte [Controle o acesso aos endpoints da VPC usando políticas de endpoint](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html) no *Guia do AWS PrivateLink *. Assim como os exemplos anteriores, o exemplo a seguir ilustra como fornecer acesso aos buckets do S3 necessários para as operações do Elastic Beanstalk na região leste dos EUA (Ohio) (us-east-2). Também inclui buckets com exemplo de ID de AWS conta 123456789012 e nome de bucket de exemplo amzn-s3-demo-bucket1. **Importante** Recomendamos que você evite usar caracteres curinga (\*) no lugar das regiões específicas nessa política. Por exemplo, use `arn:aws:s3:::cloudformation-waitcondition-us-east-2/*` e não use `arn:aws:s3:::cloudformation-waitcondition-*/*`. O uso de curingas pode fornecer acesso a buckets do S3 aos quais você não pretende conceder acesso. Se você quiser usar a política para mais de uma região, recomendamos repetir o primeiro bloco `Statement` para cada região. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "AllowRequestsToAWSResources", "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::elasticbeanstalk-platform-assets-{{us-east-2}}/*", "arn:aws:s3:::elasticbeanstalk-env-resources-{{us-east-2}}/*", "arn:aws:s3:::elasticbeanstalk-samples-{{us-east-2}}/*" ] }, { "Sid": "AllowRequestsToCloudFormation", "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::cloudformation-waitcondition-{{us-east-2}}/*", "arn:aws:s3:::cloudformation-custom-resource-response-{{us-east-2}}/*" ] }, { "Sid": "AllowRequestsToCustomerItems", "Effect": "Allow", "Action": [ "s3:GetObject", "s3:GetObjectAcl", "s3:PutObject", "s3:PutObjectAcl", "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::elasticbeanstalk-{{us-east-2}}-{{123456789012}}/*" ] }, { "Sid": "AllowRequestsToDockerRegistryAuth", "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::{{amzn-s3-demo-bucket1}}" ] } ] } ``` ------