VPCPuntos finales de interfaz API y control en la nube ()AWS PrivateLink - API de control en la nube
Consideraciones sobre los puntos API VPC finales de Cloud ControlCrear un VPC punto final de interfaz para Cloud Control APICrear una política VPC de puntos finales para Cloud Control APIVéase también

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

VPCPuntos finales de interfaz API y control en la nube ()AWS PrivateLink

Puede establecer una conexión privada entre su nube privada virtual (VPC) y AWS Cloud Control API crear un VPCpunto final de interfaz. Los terminales de interfaz funcionan con una tecnología que le permite acceder de forma privada a Cloud Control API APIs sin una puerta de enlace a Internet, un NAT dispositivo, una VPN conexión o una conexión AWS Direct Connect. AWS PrivateLink Las instancias VPC que tengas no necesitan direcciones IP públicas para comunicarse con Cloud Control APIAPIs. El tráfico entre tú VPC y Cloud Control API no mantiene la red de Amazon.

Cada punto de conexión de la interfaz está representado por una o más interfaces de red elásticas en las subredes.

Para obtener más información, consulte Acceder a un AWS servicio mediante un VPC punto final de interfaz en la Guía del VPC usuario de Amazon.

Consideraciones sobre los puntos API VPC finales de Cloud Control

Antes de configurar un VPC punto final de interfaz para Cloud ControlAPI, asegúrate de revisar los requisitos previos de la Guía del VPC usuario de Amazon.

Cloud Control API permite realizar llamadas a todas sus API acciones desde su VPC cuenta.

Crear un VPC punto final de interfaz para Cloud Control API

Puedes crear un VPC punto final para el API servicio de Cloud Control mediante la VPC consola de Amazon o con AWS Command Line Interface (AWS CLI). Para obtener más información, consulta Crear un VPC punto de conexión en la Guía del VPC usuario de Amazon.

Crea un VPC punto final para Cloud Control API con el siguiente nombre de servicio:

  • com.amazonaws.region.cloudcontrolapi

Si habilitas la privacidad DNS para el punto final, puedes realizar API solicitudes a Cloud Control API con su DNS nombre predeterminado para la región, por ejemplo. cloudcontrolapi.us-east-1.amazonaws.com

Para obtener más información, consulte Acceder a un AWS servicio mediante un VPC punto final de interfaz en la Guía del VPC usuario de Amazon.

Crear una política VPC de puntos finales para Cloud Control API

Puedes adjuntar una política de puntos finales a tu VPC punto final que controle el acceso a Cloud ControlAPI. La política especifica la siguiente información:

  • La entidad principal que puede realizar acciones.

  • Las acciones que se pueden realizar.

  • Los recursos en los que se pueden llevar a cabo las acciones.

Para obtener más información, consulta Cómo controlar el acceso a los servicios con VPC puntos de conexión en la Guía del VPC usuario de Amazon.

importante

VPCELos detalles de la política de puntos finales no se transmiten a ningún servicio intermedio que Cloud Control invoque API para su evaluación. Por este motivo, no se aplican las políticas que especifican acciones o recursos que pertenecen a servicios posteriores.

Por ejemplo, supongamos que has creado una EC2 instancia de Amazon en una VPC instancia con un VPC punto final para Cloud Control API en una subred sin acceso a Internet. A continuación, debes adjuntar la siguiente política VPC de puntos finales a: VPCE

{
  "Statement": [
    {
      "Action": [
        "cloudformation:*",
        "ec2:*",
        "lambda:*"
      ]
      "Effect": "Allow",
      "Principal": "*",
      "Resource": "*"
    }
  ]
}

Si un usuario con acceso de administrador envía entonces una solicitud para acceder a un bucket de Amazon S3 de la instancia, no se devolverá ningún error de servicio, aunque la VPCE política no conceda el acceso a Amazon S3.

Ejemplo: política VPC de puntos finales para API las acciones de Cloud Control

El siguiente es un ejemplo de una política de puntos finales para Cloud ControlAPI. Cuando se adjunta a un punto final, esta política otorga acceso a las API acciones de Cloud Control enumeradas a todos los directores de todos los recursos. El siguiente ejemplo deniega a todos los usuarios el permiso para crear recursos a través del VPC punto final y permite el acceso total a todas las demás acciones del API servicio de Cloud Control.

{
  "Statement": [
    {
      "Action": "cloudformation:*",
      "Effect": "Allow",
      "Principal": "*",
      "Resource": "*"
    },
    {
      "Action": "cloudformation:CreateResource",
      "Effect": "Deny",
      "Principal": "*",
      "Resource": "*"
    }
  ]
}

Véase también