Cloud-Steuerung API und VPC Schnittstellenendpunkte ()AWS PrivateLink - Cloud Control API
Überlegungen zu Cloud API VPC Control-EndpunktenEinen VPC Schnittstellenendpunkt für Cloud Control erstellen APIEine VPC Endpunktrichtlinie für Cloud Control erstellen APIWeitere Informationen finden Sie auch unter

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Cloud-Steuerung API und VPC Schnittstellenendpunkte ()AWS PrivateLink

Sie können eine private Verbindung zwischen Ihrer virtuellen privaten Cloud (VPC) herstellen und AWS Cloud Control API einen VPCSchnittstellenendpunkt erstellen. Schnittstellenendpunkte werden mit einer Technologie betrieben AWS PrivateLink, mit der Sie privat auf Cloud Control zugreifen können, API APIs ohne ein Internet-Gateway, ein NAT Gerät, eine VPN Verbindung oder eine AWS Direct Connect-Verbindung zu benötigen. Ihre Instanzen benötigen VPC keine öffentlichen IP-Adressen, um mit Cloud Control API APIs zu kommunizieren. Der Verkehr zwischen Ihnen VPC und Cloud Control API hält das Amazon-Netzwerk nicht aufrecht.

Jeder Schnittstellenendpunkt wird durch eine oder mehrere Elastic-Network-Schnittstellen in Ihren Subnetzen dargestellt.

Weitere Informationen finden Sie unter Zugreifen auf einen AWS Service über einen VPC Schnittstellenendpunkt im VPCAmazon-Benutzerhandbuch.

Überlegungen zu Cloud API VPC Control-Endpunkten

Bevor Sie einen VPC Schnittstellenendpunkt für Cloud Control einrichtenAPI, stellen Sie sicher, dass Sie die Voraussetzungen im VPCAmazon-Benutzerhandbuch lesen.

Cloud Control API unterstützt das Aufrufen all seiner API Aktionen von Ihrem ausVPC.

Einen VPC Schnittstellenendpunkt für Cloud Control erstellen API

Sie können einen VPC Endpunkt für den Cloud API Control-Service entweder mit der VPC Amazon-Konsole oder mit AWS Command Line Interface (AWS CLI) erstellen. Weitere Informationen finden Sie unter Create a VPC Endpoint im VPCAmazon-Benutzerhandbuch.

Erstellen Sie einen VPC Endpunkt für Cloud Control API mit dem folgenden Servicenamen:

  • com.amazonaws.region.cloudcontrolapi

Wenn Sie Private DNS für den Endpunkt aktivieren, können Sie API Anfragen an Cloud Control stellen, indem Sie den DNS Standardnamen für die Region API verwenden, zum Beispiel. cloudcontrolapi.us-east-1.amazonaws.com

Weitere Informationen finden Sie unter Zugreifen auf einen AWS Service über einen VPC Schnittstellenendpunkt im VPCAmazon-Benutzerhandbuch.

Eine VPC Endpunktrichtlinie für Cloud Control erstellen API

Sie können Ihrem VPC Endpunkt eine Endpunktrichtlinie hinzufügen, die den Zugriff auf Cloud Control steuertAPI. Die Richtlinie gibt die folgenden Informationen an:

  • Prinzipal, der die Aktionen ausführen kann.

  • Aktionen, die ausgeführt werden können

  • Die Ressourcen, für die Aktionen ausgeführt werden können.

Weitere Informationen finden Sie unter Steuern des Zugriffs auf Dienste mit VPC Endpunkten im VPCAmazon-Benutzerhandbuch.

Wichtig

VPCEDetails zur Endpunktrichtlinie werden nicht an nachgelagerte Dienste weitergegeben, die von Cloud Control API zur Evaluierung aufgerufen werden. Aus diesem Grund werden Richtlinien, die Aktionen oder Ressourcen spezifizieren, die zu nachgelagerten Diensten gehören, nicht durchgesetzt.

Nehmen wir beispielsweise an, Sie haben eine EC2 Amazon-Instance in einer VPC Instance mit einem VPC Endpunkt für Cloud Control API in einem Subnetz ohne Internetzugang erstellt. Als Nächstes fügen Sie die folgende VPC Endpunktrichtlinie dem VPCE hinzu:

{
  "Statement": [
    {
      "Action": [
        "cloudformation:*",
        "ec2:*",
        "lambda:*"
      ]
      "Effect": "Allow",
      "Principal": "*",
      "Resource": "*"
    }
  ]
}

Wenn ein Benutzer mit Administratorzugriff dann eine Anfrage für den Zugriff auf einen Amazon S3 S3-Bucket in der Instance sendet, wird kein Servicefehler zurückgegeben, obwohl Amazon S3 S3-Zugriff in der VPCE Richtlinie nicht gewährt wird.

Beispiel: VPC Endpunktrichtlinie für Cloud API Control-Aktionen

Im Folgenden finden Sie ein Beispiel für eine Endpunktrichtlinie für Cloud ControlAPI. Wenn diese Richtlinie an einen Endpunkt angehängt ist, gewährt sie allen Prinzipalen auf allen Ressourcen Zugriff auf die aufgelisteten Cloud API Control-Aktionen. Das folgende Beispiel verweigert allen Benutzern die Berechtigung, Ressourcen über den VPC Endpunkt zu erstellen, und gewährt vollen Zugriff auf alle anderen Aktionen im Cloud API Control-Dienst.

{
  "Statement": [
    {
      "Action": "cloudformation:*",
      "Effect": "Allow",
      "Principal": "*",
      "Resource": "*"
    },
    {
      "Action": "cloudformation:CreateResource",
      "Effect": "Deny",
      "Principal": "*",
      "Resource": "*"
    }
  ]
}

Weitere Informationen finden Sie auch unter