Acessar o Amazon Lightsail usando um endpoint de interface (AWS PrivateLink) - Amazon Lightsail
ConsideraçõesComo criar um endpoint de interfaceExemplos da AWS CLICriar uma política de endpoint

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Acessar o Amazon Lightsail usando um endpoint de interface (AWS PrivateLink)

É possível usar o AWS PrivateLink para criar uma conectividade privada entre a sua VPC e o Amazon Lightsail. Você pode acessar o Amazon Lightsail como se estivesse em sua VPC, sem usar um gateway da Internet, um dispositivo NAT, uma conexão VPN ou uma conexão Direct Connect. As instâncias na sua VPC não precisam de endereços IP públicos para acessar o Amazon Lightsail.

Você estabelece essa conectividade privada criando um endpoint de interface, desenvolvido pelo AWS PrivateLink. Criaremos um endpoint de interface de rede em cada sub-rede que você habilitar para o endpoint de interface. Estas são interfaces de rede gerenciadas pelo solicitante que servem como ponto de entrada para o tráfego destinado ao Amazon Lightsail.

Para obter mais informações, consulte Acessar os Serviços da AWS pelo AWS PrivateLink no Guia do AWS PrivateLink.

Considerações para o Amazon Lightsail

Antes de configurar um endpoint de interface para o Amazon Lightsail, você precisa criar uma nuvem privada virtual (VPC). Para obter mais informações, consulte Criar uma VPC no Guia do usuário da Amazon Virtual Private Cloud. Além disso, revise as Considerações no Guia do AWS PrivateLink.

Amazon Lightsail suporta fazer chamadas para todas as suas ações de API por meio do endpoint da interface. Para obter mais informações sobre as ações de API disponíveis no Lightsail, consulte Referência de API do Amazon Lightsail.

Criar um endpoint de interface para Amazon Lightsail

Você pode criar um endpoint de interface para Amazon Lightsail usando o console da Amazon VPC ou o AWS Command Line Interface (AWS CLI). Para obter mais informações, consulte Criando um Endpoint de InterfaceAWS PrivateLink no Guia.

Como criar um endpoint de interface para o Amazon Lightsail usando o seguinte nome de serviço:

com.amazonaws.region.lightsail

Se você habilitar o DNS privado para o endpoint da interface, poderá fazer solicitações de API a Amazon Lightsail usando seu nome DNS regional padrão. Por exemplo, lightsail.us-east-1.amazonaws.com. Sobre os códigos de região que você pode usar, consulte Regiões e zonas de disponibilidade para o Lightsail.

Exemplos da AWS CLI

Para acessar o Lightsail pelos endpoints de interface, use os parâmetros --region e --endpoint-url com os comandos da AWS CLI. Sobre uma lista de operações que você pode executar no Lightsail, consulte Ações na Referência de API do Amazon Lightsail.

Nos exemplos a seguir, substitua a Região da AWS us-east-1 e o nome de DNS do ID do endpoint da VPC vpce-1a2b3c4d-5e6f.s3.us-east-1.vpce.amazonaws.com pelas suas informações.

Exemplo: usar um URL de endpoint para listar instâncias do Lightsail

O exemplo a seguir usa um endpoint de interface para listar suas instâncias.

aws lightsail get-instances --region us-east-1 --endpoint-url https://vpce-1a2b3c4d-5e6f.lightsail.us-east-1.vpce.amazonaws.com
Exemplo: usar um URL de endpoint para listar discos do Lightsail

O exemplo a seguir usa um endpoint de interface para listar seus discos.

aws lightsail get-disks --region us-east-1 --endpoint-url https://vpce-1a2b3c4d-5e6f.lightsail.us-east-1.vpce.amazonaws.com

Criar uma política de endpoint para o endpoint de interface

Uma política de endpoint é um recurso do IAM que pode ser anexado ao endpoint de interface. A política de endpoint padrão permite acesso total ao Amazon Lightsail por meio de endpoint de interface. Para controlar o acesso permitido ao Amazon Lightsail pela VPC, anexe uma política de endpoint personalizada ao endpoint de interface.

Uma política de endpoint especifica as seguintes informações:

  • As entidades principais que podem realizar ações (Contas da AWS, usuários do IAM e perfis do IAM).

  • As ações que podem ser executadas.

  • Os recursos nos quais as ações podem ser executadas.

Para obter mais informações, consulte Controlar o Acesso a Serviços Usando Políticas de Endpoint no AWS PrivateLink Guia.

Exemplo: política de endpoint da VPC para ações do Amazon Lightsail

Veja a seguir um exemplo de uma política de endpoint personalizado. Quando você anexa essa política ao seu endpoint de interface, ela nega permissão a todos para excluírem discos de armazenamento em bloco no Lightsail pelo endpoint e concede permissão a todos para realizarem qualquer outra ação do Lightsail.

{
  "Statement": [
    {
      "Action": "lightsail:*",
      "Effect": "Allow",
      "Principal": "*",
      "Resource": "*"
    },
    {
      "Action": "lightsail:DeleteDisk",
      "Effect": "Deny",
      "Principal": "*",
      "Resource": "*"
    }
  ]
}