Acessar o AWS Resource Access Manager usando um endpoint de interface (AWS PrivateLink) - AWS Resource Access Manager
ConsideraçõesComo criar um endpoint de interfaceCriar uma política de endpoint

Acessar o AWS Resource Access Manager usando um endpoint de interface (AWS PrivateLink)

É possível usar o AWS PrivateLink para criar uma conectividade privada entre a sua VPC e o AWS Resource Access Manager. Você pode acessar o AWS RAM como se estivesse em sua VPC, sem usar um gateway da Internet, um dispositivo NAT, uma conexão VPN ou uma conexão Direct Connect. As instâncias na sua VPC não precisam de endereços IP públicos para acessar o AWS RAM.

Você estabelece essa conectividade privada criando um endpoint de interface, desenvolvido pelo AWS PrivateLink. Criaremos um endpoint de interface de rede em cada sub-rede que você habilitar para o endpoint de interface. Estas são interfaces de rede gerenciadas pelo solicitante que servem como ponto de entrada para o tráfego destinado ao AWS RAM.

Para obter mais informações, consulte Acessar os Serviços da AWS pelo AWS PrivateLink no Guia do AWS PrivateLink.

Considerações para o AWS RAM

Antes de configurar um endpoint de interface para o AWS RAM, revise as Considerações no Guia do AWS PrivateLink.

AWS RAM suporta fazer chamadas para todas as suas ações de API por meio do endpoint da interface.

As políticas de VPC endpoint têm suporte do AWS RAM. Por padrão, o acesso total a AWS RAM é permitido por meio do endpoint da interface.

Criar um endpoint de interface para AWS RAM

Você pode criar um endpoint de interface para AWS RAM usando o console da Amazon VPC ou o AWS Command Line Interface (AWS CLI). Para obter mais informações, consulte Criando um Endpoint de InterfaceAWS PrivateLink no Guia.

Como criar um endpoint de interface para o AWS RAM usando o seguinte nome de serviço:

com.amazonaws.region.ram

Se você habilitar o DNS privado para o endpoint da interface, poderá fazer solicitações de API a AWS RAM usando seu nome DNS regional padrão. Por exemplo, ram.us-east-1.amazonaws.com.

Crie uma política de endpoint para seu endpoint de interface.

Uma política de endpoint é um recurso do IAM que você pode anexar ao endpoint de interface. A política de endpoint padrão permite acesso total ao AWS RAM por meio de endpoint de interface. Para controlar o acesso permitido ao AWS RAM pela VPC, anexe uma política de endpoint personalizada ao endpoint de interface.

Uma política de endpoint especifica as seguintes informações:

  • As entidades principais que podem realizar ações (Contas da AWS, usuários do IAM e perfis do IAM).

  • As ações que podem ser executadas.

  • Os recursos nos quais as ações podem ser executadas.

Para obter mais informações, consulte Controlar o Acesso a Serviços Usando Políticas de Endpoint no AWS PrivateLink Guia.

Exemplo: política de endpoint da VPC para ações do AWS RAM

O exemplo a seguir refere-se a uma política de endpoint personalizada. Quando anexada ao endpoint da sua interface, essa política concede acesso às ações do AWS RAM listadas para todas as entidades principais em todos os recursos.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement":
        [
            {
            "Effect": "Allow",
            "Principal": "*",
            "Action": [
                "ram:CreateResourceShare"
            ],
            "Resource": "*"
            }
        ]
}