本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
云控制 API 和接口 VPC 终端节点 (AWS PrivateLink)
您可以使用 AWS PrivateLink 在您的 VPC 和之间创建私有连接 AWS 云端控制 API。您可以像在 VPC 中一样访问云控制 API,无需使用互联网网关、NAT 设备、VPN 连接或 AWS Direct Connect 连接。您的 VPC 中的实例不需要公有 IP 地址即可访问云控制 API。
您可以通过创建由 AWS PrivateLink提供支持的接口端点来建立此私有连接。我们将在您为接口端点启用的每个子网中创建一个端点网络接口。这些是请求者管理的网络接口,用作发往 Cloud Control API 的流量的入口点。
Cloud Control API 支持通过接口端点调用其所有 API 操作。
Cloud Control API VPC 端点的注意事项
在为 Cloud Control API 设置接口 VPC 终端节点之前,请先确保满足AWS PrivateLink 指南中使用接口 VPC 终端节点访问 AWS 服务主题中的先决条件。
为 Cloud Control API 创建接口 VPC 端点
您可以使用亚马逊 VPC 控制台或 AWS Command Line Interface (AWS CLI) 为云控制 API 创建 VPC 终端节点。有关更多信息,请参阅 AWS PrivateLink 指南中的创建 VPC 端点。
使用以下服务名称为 Cloud Control API 创建接口端点:
-
com.amazonaws。
region.cloudcontro
如果为端点启用私有 DNS,则可以使用其默认 DNS 名称作为区域,向 Cloud Control API 发送 API 请求,例如 cloudcontrolapi.us-east-1.amazonaws.com。
有关更多信息,请参阅《Amazon VPC 用户指南》中的使用接口 VPC 端点访问 AWS 服务。
为 Cloud Control API 创建 VPC 端点策略
您可以为 VPC 端点附加控制对 Cloud Control API 的访问的端点策略。该策略指定以下信息:
-
可执行操作的主体。
-
可执行的操作。
-
可对其执行操作的资源。
有关更多信息,请参阅 AWS PrivateLink 指南中的使用端点策略控制对 VPC 端点的访问权限。
重要
VPCE 端点策略详细信息不会传递给 Cloud Control API 调用的任何下游服务来进行评估。因此,未强制执行指定属于下游服务的操作或资源的策略。
例如,假设您在 VPC EC2 实例中创建了一个 Amazon 实例,在无法访问互联网的子网中使用云控制 API 的 VPC 终端节点。接下来,您将以下 VPC 端点策略附加到 VPCE:
{ "Statement": [ { "Action": [ "cloudformation:*", "ec2:*", "lambda:*" ] "Effect": "Allow", "Principal": "*", "Resource": "*" } ] }
如果具有管理员访问权限的用户随后发送了一个访问该实例中的 Amazon S3 存储桶的请求,那么即使 VPCE 策略中未授予 Amazon S3 访问权限,也不会返回服务错误。
示例:Cloud Control API 操作的 VPC 端点策略
下面是用于 Cloud Control API 的端点策略示例。当附加到端点时,此策略会向所有资源上的所有主体授予对列出的 Cloud Control API 操作的访问权限。以下示例拒绝所有用户通过 VPC 端点创建资源的权限,并允许对 Cloud Control API 服务上的所有其他操作进行完全访问。
{ "Statement": [ { "Action": "cloudformation:*", "Effect": "Allow", "Principal": "*", "Resource": "*" }, { "Action": "cloudformation:CreateResource", "Effect": "Deny", "Principal": "*", "Resource": "*" } ] }
另请参阅
