AWS Cloud Control API und Schnittstellen-VPC-Endpunkte ()AWS PrivateLink - Cloud Control API
Überlegungen zu Cloud Control API-VPC-EndpunktenErstellen eines VPC-Schnittstellen-Endpunkts für die Cloud Control APIErstellen einer VPC-Endpunktrichtlinie für die Cloud Control APIWeitere Informationen finden Sie auch unter

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

AWS Cloud Control API und Schnittstellen-VPC-Endpunkte ()AWS PrivateLink

Sie können eine private Verbindung zwischen Ihrer Virtual Private Cloud (VPC) herstellen und AWS Cloud Control API einen VPC-Schnittstellen-Endpunkt erstellen. Schnittstellenendpunkte basieren auf einer Technologie AWS PrivateLink, mit der Sie privat auf Cloud Control API-APIs zugreifen können, ohne ein Internet-Gateway, ein NAT-Gerät, eine VPN-Verbindung oder eine AWS Direct Connect-Verbindung zu benötigen. Instances in Ihrer VPC benötigen keine öffentlichen IP-Adressen, um mit Cloud Control API-APIs zu kommunizieren. Der Datenverkehr zwischen Ihrer VPC und der Cloud Control API hält das Amazon-Netzwerk nicht aufrecht.

Jeder Schnittstellenendpunkt wird durch eine oder mehrere Elastic-Network-Schnittstellen in Ihren Subnetzen dargestellt.

Weitere Informationen finden Sie unter Schnittstellen-VPC-Endpunkte (AWS PrivateLink) im Amazon-VPC-Benutzerhandbuch.

Überlegungen zu Cloud Control API-VPC-Endpunkten

Bevor Sie einen VPC-Schnittstellen-Endpunkt für die Cloud Control API einrichten, sollten Sie die Eigenschaften und Einschränkungen der Schnittstellenendpunkte im Amazon VPC-Benutzerhandbuch lesen.

Die Cloud Control API unterstützt Aufrufe aller API-Aktionen von Ihrer VPC aus.

Erstellen eines VPC-Schnittstellen-Endpunkts für die Cloud Control API

Sie können einen VPC-Endpunkt für den Cloud Control API-Service entweder mit der Amazon VPC-Konsole oder mit AWS Command Line Interface ()AWS CLI erstellen. Weitere Informationen finden Sie unter Erstellung eines Schnittstellenendpunkts im Benutzerhandbuch für Amazon VPC.

Erstellen Sie einen VPC-Endpunkt für die Cloud Control API mit dem folgenden Dienstnamen:

  • com.amazonaws. region .cloudcontrolapi

Wenn Sie privates DNS für den Endpunkt aktivieren, können Sie API-Anfragen an die Cloud Control API stellen, indem Sie deren Standard-DNS-Namen für die Region verwenden, zum Beispiel. cloudcontrolapi.us-east-1.amazonaws.com

Weitere Informationen finden Sie unter Zugriff auf einen Service über einen Schnittstellenendpunkt im Benutzerhandbuch für Amazon VPC.

Erstellen einer VPC-Endpunktrichtlinie für die Cloud Control API

Sie können Ihrem VPC-Endpunkt eine Endpunktrichtlinie hinzufügen, die den Zugriff auf die Cloud Control API steuert. Die Richtlinie gibt die folgenden Informationen an:

  • Prinzipal, der die Aktionen ausführen kann.

  • Aktionen, die ausgeführt werden können

  • Die Ressourcen, für die Aktionen ausgeführt werden können.

Weitere Informationen finden Sie unter Steuerung des Zugriffs auf Services mit VPC-Endpunkten im Amazon-VPC-Benutzerhandbuch.

Wichtig

Die Details der VPCE-Endpunktrichtlinie werden nicht an nachgelagerte Dienste weitergegeben, die von der Cloud Control API zur Evaluierung aufgerufen werden. Aus diesem Grund werden Richtlinien, die Aktionen oder Ressourcen spezifizieren, die zu nachgelagerten Diensten gehören, nicht durchgesetzt.

Nehmen wir beispielsweise an, Sie haben eine Amazon EC2 EC2-Instance in einer VPC-Instance mit einem VPC-Endpunkt für die Cloud Control API in einem Subnetz ohne Internetzugang erstellt. Als Nächstes fügen Sie dem VPCE die folgende VPC-Endpunktrichtlinie hinzu:

{
  "Statement": [
    {
      "Action": [
        "cloudformation:*",
        "ec2:*",
        "lambda:*"
      ]
      "Effect": "Allow",
      "Principal": "*",
      "Resource": "*"
    }
  ]
}

Wenn ein Benutzer mit Administratorzugriff dann eine Anfrage für den Zugriff auf einen Amazon S3 S3-Bucket in der Instance sendet, wird kein Servicefehler zurückgegeben, obwohl Amazon S3 S3-Zugriff in der VPCE-Richtlinie nicht gewährt wird.

Beispiel: VPC-Endpunktrichtlinie für Cloud Control API-Aktionen

Im Folgenden finden Sie ein Beispiel für eine Endpunktrichtlinie für die Cloud Control API. Wenn diese Richtlinie an einen Endpunkt angehängt ist, gewährt sie allen Prinzipalen auf allen Ressourcen Zugriff auf die aufgelisteten Cloud Control API-Aktionen. Das folgende Beispiel verweigert allen Benutzern die Berechtigung, Ressourcen über den VPC-Endpunkt zu erstellen, und gewährt vollen Zugriff auf alle anderen Aktionen im Cloud Control API-Dienst.

{
  "Statement": [
    {
      "Action": "cloudformation:*",
      "Effect": "Allow",
      "Principal": "*",
      "Resource": "*"
    },
    {
      "Action": "cloudformation:CreateResource",
      "Effect": "Deny",
      "Principal": "*",
      "Resource": "*"
    }
  ]
}

Weitere Informationen finden Sie auch unter