Acceso a Amazon EC2 mediante un punto de conexión de VPC de interfaz. - Amazon Elastic Compute Cloud
Creación de un punto de conexión de la VPC de tipo interfazCreación de una política de punto de conexión

Acceso a Amazon EC2 mediante un punto de conexión de VPC de interfaz.

Para mejorar la posición de seguridad de su VPC, cree una conexión privada entre su VPC y Amazon EC2. Puede acceder a Amazon EC2 como si estuviera en su VPC, sin el uso de una puerta de enlace de Internet, un dispositivo NAT, una conexión VPN o una conexión AWS Direct Connect. Las instancias de la VPC no necesitan direcciones IP públicas para acceder a Amazon EC2.

Para obtener más información, consulte Acceso a Servicios de AWS a través de AWS PrivateLink en la Guía de AWS PrivateLink.

Creación de un punto de conexión de la VPC de tipo interfaz

Cree un punto de conexión para Amazon EC2 con el siguiente nombre de servicio:

  • com.amazonaws.región.ec2: crea un punto de conexión para las acciones de la API de Amazon EC2.

Para obtener más información, consulte Acceder a Servicio de AWS a través de un punto de conexión de VPC de interfaz en la Guía de AWS PrivateLink.

Creación de una política de punto de conexión

Una política de punto de conexión es un recurso de IAM que puede adjuntar al punto de conexión de su interfaz. La política de punto de conexión predeterminada permite acceso completo a la API de Amazon EC2 a través del punto de conexión de interfaz. Para controlar el acceso permitido a la API de Amazon EC2 desde la VPC, adjunte una política de punto de conexión personalizada al punto de conexión de interfaz.

Una política de punto de conexión especifica la siguiente información:

  • Las entidades principales que pueden realizar acciones.

  • Las acciones que se pueden realizar.

  • El recurso en el que se pueden realizar las acciones.

importante

Cuando se aplica una política no predeterminada a un punto de conexión de VPC de interfaz de Amazon EC2, es posible que algunas solicitudes de API que produzcan un error, como aquellas que fallan a partir de RequestLimitExceeded, no estén registradas en AWS CloudTrail o Amazon CloudWatch.

Para obtener más información, consulte Control del acceso a los servicios con puntos de conexión de la VPC en la Guía del usuario de AWS PrivateLink.

En el ejemplo siguiente se muestra una política de punto de conexión de VPC que deniega el permiso para crear volúmenes no cifrados o para lanzar instancias con volúmenes no cifrados. La política de ejemplo también concede permiso para realizar todas las demás acciones de Amazon EC2.

{
    "Version": "2012-10-17",
    "Statement": [
    {
        "Action": "ec2:*",
        "Effect": "Allow",
        "Resource": "*",
        "Principal": "*"
    },
    {
        "Action": [
            "ec2:CreateVolume"
        ],
        "Effect": "Deny",
        "Resource": "*",
        "Principal": "*",
        "Condition": {
            "Bool": {
                "ec2:Encrypted": "false"
            }
        }
    },
    {
        "Action": [
            "ec2:RunInstances"
        ],
        "Effect": "Deny",
        "Resource": "*",
        "Principal": "*",
        "Condition": {
            "Bool": {
                "ec2:Encrypted": "false"
            }
        }
    }]
}