Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Verwenden von Elastic Beanstalk mit VPC-Endpunkten
Ein VPC-Endpunkt ermöglicht Ihnen die Herstellung einer privaten Verbindung zwischen Ihrer VPC, unterstützten AWS-Services und VPC-Endpunktservices über AWS PrivateLink, ohne dass ein Internet-Gateway, ein NAT-Gerät, eine VPN-Verbindung oder eine AWS Direct Connect-Verbindung erforderlich sind.
Instances in Ihrer VPC benötigen keine öffentlichen IP-Adressen, um mit Ressourcen im Service zu kommunizieren. Der Datenverkehr zwischen Ihrer VPC und dem anderen Service verlässt das Amazon-Netzwerk nicht. Vollständige Informationen zu VPC-Endpunkten finden Sie unter VPC-Endpunkte im Amazon VPC-Benutzerhandbuch.
AWS Elastic Beanstalk unterstützt AWS PrivateLink. Diese Lösung stellt eine private Verbindung mit dem Elastic-Beanstalk-Service her und verhindert den Transport von Daten über das öffentliche Internet. Damit Ihre Anwendung über AWS PrivateLink Anforderungen an Elastic Beanstalk senden kann, müssen Sie einen VPC-Endpunkttyp konfigurieren, der als Schnittstellen-VPC-Endpunkt (Schnittstellenendpunkt) bezeichnet wird. Weitere Informationen finden Sie unter Schnittstellen-VPC-Endpunkte (AWS PrivateLink) im Amazon-VPC-Benutzerhandbuch.
Anmerkung
Elastic Beanstalk unterstützt AWS PrivateLink und VPC-Schnittstellenendpunkte in einer begrenzten Anzahl von AWS-Regionen. Wir arbeiten daran, die Unterstützung in naher Zukunft auf weitere AWS-Regionen zu erweitern.
Einrichten eines VPC-Endpunkts für Elastic Beanstalk
Zur Erstellung des Schnittstellen-VPC-Endpunkts für den Elastic Beanstalk-Service in Ihrer VPC folgen Sie der Prozedur Erstellung eines Schnittstellenendpunkts. Wählen Sie in Service Name (Servicename) die Option com.amazonaws.Region.elasticBeanstalk aus.
Wenn Ihre VPC mit einem Zugang zum öffentlichem Internet konfiguriert ist, kann Ihre Anwendung weiter unter Verwendung des öffentlichen Endpunkts elasticbeanstalk. über das Internet auf Elastic Beanstalk zugreifen. Sie können dies durch die Aktivierung von Enable DNS name (DNS-Namen aktivieren) während der Endpunkterstellung verhindern (standardmäßig „true“). Hierdurch wird ein DNS-Eintrag in Ihrer VPC hinzugefügt, der den Endpunkt für den öffentlichen Service dem VPC-Schnittstellenendpunkt zuordnet.region.amazonaws.com
Einrichtung eines VPC-Endpunkts zur Verbesserung der Integrität
Wenn Sie für Ihre Umgebung erweiterte Integritätsberichte aktiviert haben, können Sie diese so konfigurieren, dass erweiterte Integritätsdaten ebenfalls über AWS PrivateLink gesendet werden. Erweiterte Integritätsinformationen werden vom Daemon healthd, einer Elastic Beanstalk-Komponente auf den Instances in Ihrer Umgebung, an einen separaten, erweiterten Elastic Beanstalk-Integritätsservice gesendet. Zur Erstellung des Schnittstellen-VPC-Endpunkts für diesen Service in Ihrer VPC folgen Sie der Prozedur Erstellung eines Schnittstellenendpunkts. Wählen Sie in Service Name (Servicename) die Option com.amazonaws.Region.elasticbeanstalk-Gesundheit aus.
Wichtig
Der Daemon healthd sendet erweiterte Integritätsdaten an den öffentlichen Endpunkt, elasticbeanstalk-health.. Wenn Ihre VPC mit einem Zugang zum öffentlichem Internet konfiguriert und Enable DNS name (DNS-Name aktivieren) für den VPC-Endpunkt deaktiviert ist, werden erweiterte Integritätsdaten über das öffentliche Internet transportiert. Dies wird von Ihnen bei der Einrichtung eines VPC-Endpunkts für erweiterte Integrität wahrscheinlich nicht gewünscht. Stellen Sie daher sicher, dass Enable DNS name (DNS-Name aktivieren) aktiviert ist (standardmäßig „true“).region.amazonaws.com
Verwenden von VPC-Endpunkten in einer privaten VPC
Eine private VPC (oder ein privates Subnetz in einer VPC) verfügt nicht über einen Zugang zum öffentlichen Internet. Möglicherweise möchten Sie Ihre Elastic Beanstalk-Umgebung in einer privaten VPC ausführen und Schnittstellen-VPC-Endpunkte konfigurieren, um die Sicherheit zu verbessern. In diesem Fall sollten Sie beachten, dass Ihre Umgebung möglicherweise versucht, aus anderen Gründen eine Verbindung zum Internet herzustellen, zusätzlich zur Kontaktaufnahme mit dem Elastic Beanstalk-Service. Weitere Informationen zur Ausführung einer Umgebung in einer privaten VPC finden Sie unter Ausführung einer Elastic Beanstalk-Umgebung in einer privaten VPC.
Verwenden von Endpunktrichtlinien zur Steuerung des Zugriffs mit VPC-Endpunkten
Standardmäßig ermöglicht ein VPC-Endpunkt den vollständigen Zugriff auf den Service, dem er zugeordnet ist. Wenn Sie einen Endpunkt erstellen oder ändern, können Sie diesem eine Endpunktrichtlinie anfügen.
Eine Endpunktrichtlinie ist eine AWS Identity and Access Management (IAM)-Ressourcenrichtlinie, die den Zugriff vom Endpunkt aus auf den angegebenen Service steuert. Die Endpunktrichtlinie ist für den jeweiligen Endpunkt spezifisch. Sie ist von allen Benutzer- oder Instance-IAM-Richtlinien, die in Ihrer Umgebung möglicherweise vorhanden sind, getrennt; weder überschreibt sie diese noch ersetzt sie diese. Details zur Erstellung und Verwendung von VPC-Endpunktrichtlinien finden Sie unter Steuerung des Zugriffs auf Services mit VPC-Endpunkten im Amazon VPC-Benutzerhandbuch.
Das folgende Beispiel lehnt die Berechtigung zum Beenden einer Umgebung über den VPC-Endpunkt für alle Benutzer ab und ermöglicht den vollständigen Zugriff auf alle übrigen Aktionen.
{ "Statement": [ { "Action": "*", "Effect": "Allow", "Resource": "*", "Principal": "*" }, { "Action": "elasticbeanstalk:TerminateEnvironment", "Effect": "Deny", "Resource": "*", "Principal": "*" } ] }
Anmerkung
Zu diesem Zeitpunkt unterstützt nur der Elastic Beanstalk-Hauptservice die Anfügung einer Endpunktrichtlinie an seinen VPC-Endpunkt. Der erweiterte Integritätsservice unterstützt Endpunktrichtlinien nicht.
