本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
雲端控制 API 和界面 VPC 端點 (AWS PrivateLink)
您可以使用 在 VPC 與 之間 AWS PrivateLink 建立私有連線 AWS 雲端控制 API。您可以像在 VPC 中一樣存取 Cloud Control API,無需使用網際網路閘道、NAT 裝置、VPN 連接或 AWS Direct Connect 連線。VPC 中的執行個體不需要公有 IP 地址即可存取 Cloud Control API。
您可以建立由 AWS PrivateLink提供支援的介面端點來建立此私有連線。我們會在您為介面端點啟用的每個子網中建立端點網路介面。這些是請求者管理的網路介面,可做為目的地為 Cloud Control API 之流量的進入點。
Cloud Control API 支援透過界面端點呼叫其所有 API 動作。
Cloud Control API VPC 端點的考量事項
在您設定 Cloud Control API 的介面 VPC 端點之前,請先確定您已符合《 AWS PrivateLink 指南》中的使用介面 VPC 端點主題存取 AWS 服務中的先決條件。
為 Cloud Control API 建立介面 VPC 端點
您可以使用 Amazon VPC 主控台或 AWS Command Line Interface () 為 Cloud Control API 建立 VPC 端點AWS CLI。如需詳細資訊,請參閱《AWS PrivateLink 指南》中的建立 VPC 端點。
使用下列服務名稱建立 Cloud Control API 的介面端點:
-
com.amazonaws.
region.cloudcontrolapi
如果您為端點啟用私有 DNS,您可以使用區域的預設 DNS 名稱向 Cloud Control API 提出 API 請求,例如 cloudcontrolapi.us-east-1.amazonaws.com。
如需詳細資訊,請參閱《Amazon VPC 使用者指南》中的使用介面 VPC 端點存取 AWS 服務。
為 Cloud Control API 建立 VPC 端點政策
您可以將端點政策連接至 VPC 端點,以控制對 Cloud Control API 的存取。此政策會指定下列資訊:
-
可執行動作的主體。
-
可執行的動作。
-
可供執行動作的資源。
如需詳細資訊,請參閱《 AWS PrivateLink 指南》中的使用端點政策控制對 VPC 端點的存取。
重要
VPCE 端點政策詳細資訊不會傳遞給 Cloud Control API 叫用用於評估的任何下游服務。因此,不會強制執行指定屬於下游服務之動作或資源的政策。
例如,假設您在 VPC 執行個體中建立 Amazon EC2 執行個體,且子網路中具有雲端控制 API 的 VPC 端點,且無法存取網際網路。接著,您將下列 VPC 端點政策連接至 VPCE:
{ "Statement": [ { "Action": [ "cloudformation:*", "ec2:*", "lambda:*" ] "Effect": "Allow", "Principal": "*", "Resource": "*" } ] }
如果具有管理員存取權的使用者接著傳送存取執行個體中 Amazon S3 儲存貯體的請求,即使未在 VPCE 政策中授予 Amazon S3 存取權,也不會傳回任何服務錯誤。
範例:適用於 Cloud Control API 動作的 VPC 端點政策
以下是 Cloud Control API 的端點政策範例。連接至 端點時,此政策會授予所有資源上所有主體所列出的 Cloud Control API 動作的存取權。下列範例拒絕所有使用者透過 VPC 端點建立資源的許可,並允許完整存取 Cloud Control API 服務上的所有其他動作。
{ "Statement": [ { "Action": "cloudformation:*", "Effect": "Allow", "Principal": "*", "Resource": "*" }, { "Action": "cloudformation:CreateResource", "Effect": "Deny", "Principal": "*", "Resource": "*" } ] }
另請參閱
