AWS Zugriffskontrollkatalog mithilfe eines Schnittstellenendpunkts (AWS PrivateLink) - AWSSteuerkatalog

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

AWS Zugriffskontrollkatalog mithilfe eines Schnittstellenendpunkts (AWS PrivateLink)

Sie können AWS PrivateLink es verwenden, um eine private Verbindung zwischen Ihrem VPC und AWS Control Catalog herzustellen. Sie können auf AWS Control Catalog zugreifen, als ob es in Ihrem System wäreVPC, ohne ein Internet-Gateway, ein NAT Gerät, eine Verbindung oder AWS Direct Connect eine VPN Verbindung verwenden zu müssen. Instanzen in Ihrem VPC System benötigen keine öffentlichen IP-Adressen, um auf AWS Control Catalog zuzugreifen.

Sie stellen diese private Verbindung her, indem Sie einen Schnittstellen-Endpunkt erstellen, der von AWS PrivateLink unterstützt wird. Wir erstellen eine Endpunkt-Netzwerkschnittstelle in jedem Subnetz, das Sie für den Schnittstellen-Endpunkt aktivieren. Dabei handelt es sich um vom Anforderer verwaltete Netzwerkschnittstellen, die als Einstiegspunkt für den Datenverkehr dienen, der für Control Catalog bestimmt ist. AWS

Weitere Informationen finden Sie AWS PrivateLink im Handbuch unter Access AWS-Services through.AWS PrivateLink

Überlegungen zum AWS Control Catalog

Bevor Sie einen Schnittstellenendpunkt für AWS Control Catalog einrichten, lesen Sie die Überlegungen im AWS PrivateLink Handbuch.

AWS Control Catalog unterstützt das Aufrufen all seiner API Aktionen über den Schnittstellenendpunkt.

Erstellen Sie einen Schnittstellenendpunkt für AWS Control Catalog

Sie können einen Schnittstellenendpunkt für AWS Control Catalog entweder mit der VPC Amazon-Konsole oder mit AWS Command Line Interface (AWS CLI) erstellen. Weitere Informationen finden Sie unter Erstellen eines Schnittstellenendpunkts im AWS PrivateLink -Leitfaden.

Erstellen Sie einen Schnittstellenendpunkt für AWS Control Catalog mit dem folgenden Servicenamen:

com.amazonaws.region.controlcatalog

Wenn Sie Private DNS für den Schnittstellenendpunkt aktivieren, können Sie API Anfragen an AWS Control Catalog unter Verwendung DNS des regionalen Standardnamens stellen. Beispiel, service-name.us-east-1.amazonaws.com.

Erstellen einer Endpunktrichtlinie für Ihren Schnittstellen-Endpunkt

Eine Endpunktrichtlinie ist eine IAM Ressource, die Sie an einen Schnittstellenendpunkt anhängen können. Die standardmäßige Endpunktrichtlinie ermöglicht den vollen Zugriff auf AWS Control Catalog über den Schnittstellenendpunkt. Um den Zugriff auf Control Catalog von Ihrem aus zu AWS kontrollierenVPC, fügen Sie dem Schnittstellenendpunkt eine benutzerdefinierte Endpunktrichtlinie hinzu.

Eine Endpunktrichtlinie gibt die folgenden Informationen an:

  • Die Principals, die Aktionen ausführen können (AWS-Konten, IAM Benutzer und IAM Rollen).

  • Aktionen, die ausgeführt werden können

  • Die Ressourcen, auf denen die Aktionen ausgeführt werden können.

Weitere Informationen finden Sie unter Steuern des Zugriffs auf Services mit Endpunktrichtlinien im AWS PrivateLink -Leitfaden.

Beispiel: VPC Endpunktrichtlinie für AWS Control Catalog-Aktionen

Im Folgenden finden Sie ein Beispiel für eine benutzerdefinierte Endpunktrichtlinie. Wenn Sie diese Richtlinie an Ihren Schnittstellenendpunkt anhängen, gewährt sie allen Prinzipalen auf allen Ressourcen Zugriff auf die aufgelisteten AWS Control Catalog-Aktionen.

{ "Statement": [ { "Principal": "*", "Effect": "Allow", "Action": [ "controlcatalog:ListDomains", "controlcatalog:ListObjectives", "controlcatalog:ListCommonControls" ], "Resource":"*" } ] }
Anmerkung

Für die ListControls API Operationen GetControl und ist eine andere Berechtigung erforderlich, die standardmäßige Vollberechtigung. Ein Beispiel finden Sie in der Standard-Endpunktrichtlinie. Andere AWS Control Tower API Operationen werden für nicht unterstützt AWS PrivateLink.