Greifen EC2 Sie über einen VPC-Endpunkt mit Schnittstelle auf Amazon zu - Amazon Elastic Compute Cloud
Erstellen eines Schnittstellen-VPC-EndpunktsErstellen einer Endpunktrichtlinie

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Greifen EC2 Sie über einen VPC-Endpunkt mit Schnittstelle auf Amazon zu

Sie können die Sicherheitslage Ihrer VPC verbessern, indem Sie eine private Verbindung zwischen Ressourcen in Ihrer VPC und der EC2 Amazon-API herstellen. Sie können auf die EC2 Amazon-API zugreifen, als wäre sie in Ihrer VPC, ohne ein Internet-Gateway, ein NAT-Gerät, eine VPN-Verbindung oder AWS Direct Connect eine Verbindung verwenden zu müssen. EC2 Instances in Ihrer VPC benötigen keine öffentlichen IP-Adressen, um auf die EC2 Amazon-API zuzugreifen.

Weitere Informationen finden Sie AWS PrivateLink im AWS PrivateLink Leitfaden unter Zugriff AWS-Services durch.

Erstellen eines Schnittstellen-VPC-Endpunkts

Erstellen Sie einen Schnittstellenendpunkt für Amazon EC2 mit dem folgenden Servicenamen:

  • com.amazonaws. region.ec2 — Erzeugt einen Endpunkt für die EC2 Amazon-API-Aktionen.

Weitere Informationen finden Sie im AWS PrivateLink Handbuch unter Zugreifen und AWS-Service Verwenden eines Schnittstellen-VPC-Endpunkts.

Erstellen einer Endpunktrichtlinie

Eine Endpunktrichtlinie ist eine IAM-Ressource, die Sie Ihrem Schnittstellen-Endpunkt anfügen können. Die standardmäßige Endpunktrichtlinie ermöglicht den vollen Zugriff auf die EC2 Amazon-API über den Schnittstellenendpunkt. Um den Zugriff auf die EC2 Amazon-API von Ihrer VPC aus zu kontrollieren, fügen Sie dem Schnittstellenendpunkt eine benutzerdefinierte Endpunktrichtlinie hinzu.

Eine Endpunktrichtlinie gibt die folgenden Informationen an:

  • Die Prinzipale, die Aktionen ausführen können.

  • Die Aktionen, die ausgeführt werden können.

  • Die Ressource, auf der die Aktionen ausgeführt werden können.

Wichtig

Wenn eine nicht standardmäßige Richtlinie auf einen VPC-Schnittstellen-Endpunkt für Amazon angewendet wird EC2, werden bestimmte fehlgeschlagene API-Anfragen, z. B. solche, die von fehlschlagenRequestLimitExceeded, möglicherweise nicht bei Amazon protokolliert. AWS CloudTrail CloudWatch

Weitere Informationen finden Sie unter Steuern des Zugriffs auf Services mit Endpunktrichtlinien im AWS PrivateLink -Leitfaden.

Das folgende Beispiel zeigt eine VPC-Endpunktrichtlinie, die die Berechtigung zum Erstellen unverschlüsselter Volumes oder zum Starten von Instances mit unverschlüsselten Volumes ablehnt. Die Beispielrichtlinie gewährt auch die Erlaubnis, alle anderen EC2 Amazon-Aktionen durchzuführen.

{
    "Version": "2012-10-17",
    "Statement": [
    {
        "Action": "ec2:*",
        "Effect": "Allow",
        "Resource": "*",
        "Principal": "*"
    },
    {
        "Action": [
            "ec2:CreateVolume"
        ],
        "Effect": "Deny",
        "Resource": "*",
        "Principal": "*",
        "Condition": {
            "Bool": {
                "ec2:Encrypted": "false"
            }
        }
    },
    {
        "Action": [
            "ec2:RunInstances"
        ],
        "Effect": "Deny",
        "Resource": "*",
        "Principal": "*",
        "Condition": {
            "Bool": {
                "ec2:Encrypted": "false"
            }
        }
    }]
}