Acceso AWS Application Discovery Service mediante un punto final de interfaz (AWS PrivateLink) - AWS Application Discovery Service
ConsideracionesCreación de un punto de conexión de interfazCreación de una política de punto de conexiónUso del VPC punto final para el recopilador sin agente y el agente de descubrimiento de AWS aplicaciones

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Acceso AWS Application Discovery Service mediante un punto final de interfaz (AWS PrivateLink)

Puede usarlo AWS PrivateLink para crear una conexión privada entre su VPC y AWS Application Discovery Service. Puede acceder a Application Discovery Service como si estuviera en su casaVPC, sin el uso de una puerta de enlace, NAT dispositivo, VPN conexión o AWS Direct Connect conexión de Internet. Las instancias VPC que tenga no necesitan direcciones IP públicas para acceder a Application Discovery Service.

Esta conexión privada se establece mediante la creación de un punto de conexión de interfaz alimentado por AWS PrivateLink. Creamos una interfaz de red de punto de conexión en cada subred habilitada para el punto de conexión de interfaz. Se trata de interfaces de red administradas por el solicitante que sirven como punto de entrada para el tráfico destinado a Application Discovery Service.

Para obtener más información, consulte Acceso a los Servicios de AWS a través de AWS PrivateLink en la Guía de AWS PrivateLink .

Consideraciones sobre Application Discovery Service

Antes de configurar un punto final de interfaz para Application Discovery Service, consulte Acceder a un AWS servicio mediante un VPC punto final de interfaz en la AWS PrivateLink Guía.

Application Discovery Service admite dos interfaces: una para realizar llamadas a todas sus API acciones y otra para que el recopilador sin agente y el agente de descubrimiento de AWS aplicaciones envíen los datos de detección.

Creación de un punto de conexión de interfaz

Puede crear un punto final de interfaz mediante la VPC consola de Amazon o el AWS Command Line Interface (AWS CLI). Para obtener más información, consulte Acceder a un AWS servicio mediante un VPC punto final de interfaz en la AWS PrivateLink Guía.

For Application Discovery Service

Cree un punto final de interfaz para Application Discovery Service con el siguiente nombre de servicio:

com.amazonaws.region.discovery

Si habilita la opción privada DNS para el punto final de la interfaz, puede realizar API solicitudes a Application Discovery Service utilizando su DNS nombre regional predeterminado. Por ejemplo, discovery.us-east-1.amazonaws.com.

For Agentless Collector and AWS Application Discovery Agent

Cree un punto final de interfaz con el siguiente nombre de servicio:

com.amazonaws.region.arsenal-discovery

Si habilita la opción privada DNS para el punto final de la interfaz, puede realizar API solicitudes a Application Discovery Arsenal utilizando su DNS nombre regional predeterminado. Por ejemplo, arsenal-discovery.us-east-1.amazonaws.com.

Creación de una política de puntos de conexión para el punto de conexión de interfaz

Una política de punto final es un IAM recurso que se puede adjuntar a un punto final de interfaz. La política de puntos finales predeterminada permite el acceso total a un AWS servicio a través del punto final de la interfaz. Para controlar el acceso permitido a un AWS servicio desde su parteVPC, adjunte una política de punto final personalizada al punto final de la interfaz.

Una política de punto de conexión especifica la siguiente información:

  • Los principales que pueden realizar acciones (Cuentas de AWS IAMusuarios y IAM roles).

  • Las acciones que se pueden realizar.

Para obtener más información, consulte Control del acceso a los servicios con políticas de punto de conexión en la Guía del usuario de AWS PrivateLink .

Ejemplo: políticas de VPC puntos finales

A continuación, se muestra un ejemplo de una política de un punto de conexión personalizada. Cuando se asocia con un punto de conexión, esta política concede acceso a las acciones de mostradas para todas las entidades principales en todos los recursos.

Example policy for Application Discovery Service
{
   "Statement": [
      {
         "Principal": "*",
         "Effect": "Allow",
         "Action": [
            "discovery:action-1",
            "discovery:action-2",
            "discovery:action-3"
         ],
         "Resource":"*"
      }
   ]
}
Example policy for the Agentless Collector and AWS Application Discovery Agent
{
   "Statement": [
      {
         "Principal": "*",
         "Effect": "Allow",
         "Action": [
            "arsenal:RegisterOnPremisesAgent"
         ],
         "Resource":"*"
      }
   ]
}

Uso del VPC punto final para el recopilador sin agente y el agente de descubrimiento de AWS aplicaciones

El recopilador sin agente y el agente de descubrimiento de AWS aplicaciones no admiten puntos finales configurables. En su lugar, usa la DNS función privada para el VPC punto de conexión de arsenal-discovery Amazon.

  • Configure la tabla de AWS Direct Connect enrutamiento para enrutar las direcciones AWS IP privadas alVPC. Por ejemplo, destino = 10.0.0.0/8 y destino = local. Para esta configuración, necesita al menos enrutar las direcciones IP privadas del VPC punto final de arsenal-discovery Amazon alVPC.

  • Usa la DNS función privada de VPC puntos de conexión de arsenal-discovery Amazon porque el recopilador sin agente no admite puntos de enlace de Arsenal configurables.

  • Configure el VPC punto final de arsenal-discovery Amazon en una subred privada con la misma VPC a la que va a dirigir el AWS Direct Connect tráfico.

  • Configure el VPC punto de conexión de arsenal-discovery Amazon con un grupo de seguridad que permita el tráfico entrante desde dentro del VPC (por ejemplo, 10.0.0.0/8).

  • Configure un solucionador de entradas de Amazon Route 53 para enrutar la DNS resolución del DNS nombre privado del VPC punto de enlace de arsenal-discovery Amazon, que se resolverá en la IP privada del VPC punto de enlace. Si no lo hace, el recopilador realizará la DNS resolución mediante la resolución local y utilizará el punto final público del Arsenal, sin que el tráfico pase por él. VPC

  • Si tienes todo el tráfico público desactivado, la función de actualización automática fallará. Esto se debe a que el recopilador sin agente recupera las actualizaciones mediante el envío de solicitudes al punto de conexión de Amazon. ECR Para que la función de actualización automática funcione sin enviar solicitudes a través de la Internet pública, configura un VPC punto de conexión para el ECR servicio de Amazon y habilita la DNS función privada para este punto de conexión.