使用接口端点（AWS PrivateLink）访问 AWS Control Tower

您可以使用 AWS PrivateLink 在您的 VPC 和 AWS Control Tower 之间创建私有连接。您可以像在 VPC 中一样访问 AWS Control Tower，而无需使用互联网网关、NAT 设备、VPN 连接或 Direct Connect 连接。VPC 中的实例不需要公有 IP 地址即可访问 AWS Control Tower。

您可以通过创建由 AWS PrivateLink 提供支持的接口端点来建立此私有连接。我们将在您为接口端点启用的每个子网中创建一个端点网络接口。这些是请求者托管的网络接口，用作发往 AWS Control Tower 的流量的入口点。

有关更多信息，请参阅《AWS PrivateLink 指南》中的通过 AWS PrivateLink 访问 AWS 服务。

AWS Control Tower 的注意事项

在为 AWS Control Tower 设置接口端点之前，请首先查看《AWS PrivateLink 指南》中的注意事项。

AWS Control Tower 支持通过接口端点调用其所有 API 操作。

为 AWS Control Tower 创建接口端点

您可以使用 Amazon VPC 控制台或 AWS Command Line Interface（AWS CLI）为 AWS Control Tower 创建接口端点。有关更多信息，请参阅《AWS PrivateLink 指南》中的创建接口端点。

使用以下服务名称为 AWS Control Tower 创建接口端点：


com.amazonaws.region.controltower
com.amazonaws.region.controltower-fips

如果为接口端点启用私有 DNS，则可使用其默认区域 DNS 名称向 AWS Control Tower 发出 API 请求。例如 controltower.us-east-1.amazonaws.com。

为 VPC 端点创建端点策略

端点策略是一种 IAM 资源，您可以将其附加到接口端点。默认端点策略允许通过接口端点完全访问 AWS Control Tower。要控制允许从 VPC 访问 AWS Control Tower 的权限，请将自定义端点策略附加到接口端点。

端点策略指定以下信息：

可执行操作的主体（AWS 账户、IAM 用户和 IAM 角色）。
可执行的操作。
可对其执行操作的资源。

有关更多信息，请参阅《AWS PrivateLink 指南》中的使用端点策略控制对服务的访问权限。

示例：AWS Control Tower 操作的 VPC 端点策略

以下是自定义端点策略的示例。将此策略附加到接口端点时，其会向所有资源上的所有主体授予对列出的 AWS Control Tower 操作的访问权限。


{
   "Statement": [
      {
         "Principal": "*",
         "Effect": "Allow",
         "Action": [
            "controltower:ListEnabledControls",
            "controltower:ListLandingZones"
         ],
         "Resource":"*"
      }
   ]
}

注意

有关 AWS Control Tower API 操作的完整列表，请参阅 AWS Control Tower API 参考。

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

文档惯例

适用于 VPC 和 AWS Control Tower 的 CIDR 和对等连接

角色和权限