使用接口端点访问控制目录 (AWS PrivateLink) - AWS 控制目录
注意事项创建接口端点创建端点策略

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用接口端点访问控制目录 (AWS PrivateLink)

您可以使用 AWS PrivateLink 在您的 VPC 和控制目录之间创建私有连接。您可以像访问您的 VPC 一样访问 AWS 控制目录,无需使用互联网网关、NAT 设备、VPN 连接或 AWS Direct Connect 连接。您的 VPC 中的实例不需要公有 IP 地址即可访问控制目录。

您可以通过创建由 AWS PrivateLink提供支持的接口端点来建立此私有连接。我们将在您为接口端点启用的每个子网中创建一个端点网络接口。这些是请求者管理的网络接口,用作发往控制目录的流量的入口点。

有关更多信息,请参阅AWS PrivateLink 指南 AWS PrivateLink中的AWS 服务 通过访问

AWS 控制目录的注意事项

在为控制目录设置接口端点之前,请查看AWS PrivateLink 指南中的注意事项

控制目录支持通过接口端点调用其所有 API 操作。

为控制目录创建接口端点

您可以使用 Amazon VPC 控制台或 AWS Command Line Interface (AWS CLI) 为控制目录创建接口终端节点。有关更多信息,请参阅《AWS PrivateLink 指南》中的创建接口端点

使用以下服务名称为控制目录创建接口端点:

com.amazonaws.region.controlcatalog

如果您为接口终端节点启用私有 DNS,则可以使用控制目录的默认区域 DNS 名称向控制目录发出 API 请求。例如 service-name.us-east-1.amazonaws.com

为 VPC 端点创建端点策略

端点策略是一种 IAM 资源,您可以将其附加到接口端点。默认端点策略允许通过接口端点对控制目录进行完全访问权限。要控制允许从您的 VPC 访问控制目录,请将自定义终端节点策略附加到接口终端节点。

端点策略指定以下信息:

  • 可执行操作的主体(AWS 账户、IAM 用户和 IAM 角色)。

  • 可执行的操作。

  • 可对其执行操作的资源。

有关更多信息,请参阅《AWS PrivateLink 指南》中的使用端点策略控制对服务的访问权限

示例:控制目录操作的 VPC 终端节点策略

以下是自定义端点策略的示例。当您将此策略附加到接口终端节点时,它会向所有资源的所有委托人授予对列出的 AWS 控制目录操作的访问权限。

{
   "Statement": [
      {
         "Principal": "*",
         "Effect": "Allow",
         "Action": [
            "controlcatalog:ListDomains",
            "controlcatalog:ListObjectives",
            "controlcatalog:ListCommonControls"
         ],
         "Resource":"*"
      }
   ]
}
注意

GetControlListControls API 操作需要不同的权限,即默认的完全权限。有关示例,请参阅默认终端节点策略