Greifen Sie EC2 über einen VPC Schnittstellen-Endpunkt auf Amazon zu - Amazon Elastic Compute Cloud
Erstellen Sie einen VPC SchnittstellenendpunktErstellen einer Endpunktrichtlinie

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Greifen Sie EC2 über einen VPC Schnittstellen-Endpunkt auf Amazon zu

Sie können Ihre Sicherheitslage verbessern, VPC indem Sie eine private Verbindung zwischen Ihnen VPC und Amazon herstellenEC2. Sie können auf Amazon zugreifen, EC2 als ob es in Ihrem wäreVPC, ohne ein Internet-Gateway, ein NAT Gerät, eine Verbindung oder AWS Direct Connect eine VPN Verbindung verwenden zu müssen. Instances in Ihrem VPC System benötigen keine öffentlichen IP-Adressen, um auf Amazon zuzugreifenEC2.

Weitere Informationen finden Sie AWS PrivateLink im AWS PrivateLink Leitfaden unter Zugriff AWS-Services durch.

Erstellen Sie einen VPC Schnittstellenendpunkt

Erstellen Sie einen Schnittstellenendpunkt für Amazon EC2 mit dem folgenden Servicenamen:

  • com.amazonaws.region.ec2 — Erzeugt einen Endpunkt für die EC2 API Amazon-Aktionen.

Weitere Informationen finden Sie im Handbuch unter Zugreifen und AWS-Service Verwenden eines VPC Schnittstellenendpunkts.AWS PrivateLink

Erstellen einer Endpunktrichtlinie

Eine Endpunktrichtlinie ist eine IAM Ressource, die Sie an Ihren Schnittstellenendpunkt anhängen können. Die standardmäßige Endpunktrichtlinie ermöglicht den vollen Zugriff auf Amazon EC2 API über den Schnittstellenendpunkt. Um den Zugriff auf Amazon EC2 API von Ihrem aus zu kontrollierenVPC, fügen Sie dem Schnittstellenendpunkt eine benutzerdefinierte Endpunktrichtlinie hinzu.

Eine Endpunktrichtlinie gibt die folgenden Informationen an:

  • Die Prinzipale, die Aktionen ausführen können.

  • Die Aktionen, die ausgeführt werden können.

  • Die Ressource, auf der die Aktionen ausgeführt werden können.

Wichtig

Wenn eine nicht standardmäßige Richtlinie auf einen VPC Schnittstellenendpunkt für Amazon angewendet wirdEC2, werden bestimmte fehlgeschlagene API Anfragen, z. B. Anfragen, die von fehlschlagenRequestLimitExceeded, möglicherweise nicht bei Amazon CloudWatch protokolliert. AWS CloudTrail

Weitere Informationen finden Sie unter Steuern des Zugriffs auf Services mit Endpunktrichtlinien im AWS PrivateLink -Leitfaden.

Das folgende Beispiel zeigt eine VPC Endpunktrichtlinie, die die Erlaubnis verweigert, unverschlüsselte Volumes zu erstellen oder Instances mit unverschlüsselten Volumes zu starten. Die Beispielrichtlinie gewährt auch die Erlaubnis, alle anderen EC2 Amazon-Aktionen durchzuführen.

{
    "Version": "2012-10-17",
    "Statement": [
    {
        "Action": "ec2:*",
        "Effect": "Allow",
        "Resource": "*",
        "Principal": "*"
    },
    {
        "Action": [
            "ec2:CreateVolume"
        ],
        "Effect": "Deny",
        "Resource": "*",
        "Principal": "*",
        "Condition": {
            "Bool": {
                "ec2:Encrypted": "false"
            }
        }
    },
    {
        "Action": [
            "ec2:RunInstances"
        ],
        "Effect": "Deny",
        "Resource": "*",
        "Principal": "*",
        "Condition": {
            "Bool": {
                "ec2:Encrypted": "false"
            }
        }
    }]
}