Consideraciones para los puntos de conexión de VPC de la API de control en la nube Creación del punto de conexión de VPC de la interfaz para la API de control en la nube Creación de una política de punto de conexión de VPC para la API de control en la nube Véase también

AWS Cloud Control API y puntos finales de VPC de interfaz ()AWS PrivateLink

Puede establecer una conexión privada entre su nube privada virtual (VPC) y crear un punto final de AWS Cloud Control API interfaz de VPC. Los puntos finales de la interfaz funcionan con una tecnología que te permite acceder de forma privada a las API de Cloud Control sin una puerta de enlace a Internet, un dispositivo NAT, una conexión VPN o una conexión AWS Direct Connect. AWS PrivateLink Las instancias de la VPC no necesitan direcciones IP públicas para comunicarse con las API de la API de control en la nube. El tráfico entre la VPC y la API de control en la nube no sale de la red de Amazon.

Cada punto de conexión de la interfaz está representado por una o más interfaces de red elásticas en las subredes.

Para obtener más información, consulte Puntos de conexión de VPC de interfaz (AWS PrivateLink) en la Guía del usuario de Amazon VPC.

Consideraciones para los puntos de conexión de VPC de la API de control en la nube

Antes de configurar un punto de conexión de VPC de interfaz para la API de control en la nube, asegúrese de consultar Propiedades y limitaciones de los puntos de conexión de interfaz en la Guía del usuario de Amazon VPC.

La API de control en la nube admite realizar llamadas a todas sus acciones de la API desde su VPC.

Creación del punto de conexión de VPC de la interfaz para la API de control en la nube

Puedes crear un punto de enlace de VPC para el servicio de API de Cloud Control mediante la consola Amazon VPC o el (). AWS Command Line Interface AWS CLI Para más información, consulte Creación de un punto de conexión de interfaz en la Guía del usuario de Amazon VPC.

Cree un punto de conexión de VPC para la API de control en la nube con el siguiente nombre de servicio:

com.amazonaws.region.cloudcontrolapi

Si activa el DNS privado para el punto de conexión, puede llevar a cabo solicitudes a la API para la API de control en la nube usando su nombre de DNS predeterminado para la región, como cloudcontrolapi.us-east-1.amazonaws.com.

Para más información, consulte Acceso a un servicio a través de un punto de conexión de interfaz en la Guía del usuario de Amazon VPC.

Creación de una política de punto de conexión de VPC para la API de control en la nube

Puede asociar una política de punto de conexión a su punto de conexión de VPC que controla el acceso a la API de control en la nube. La política especifica la siguiente información:

La entidad principal que puede realizar acciones.
Las acciones que se pueden realizar.
Los recursos en los que se pueden llevar a cabo las acciones.

Para obtener más información, consulte Control del acceso a los servicios con puntos de conexión de VPC en la guía del usuario de Amazon VPC.

importante

Los detalles de la política de punto de conexión de VPCE no se transmiten a ningún servicio posterior que invoque la API de control en la nube para su evaluación. Por este motivo, no se aplican las políticas que especifican acciones o recursos que pertenecen a servicios posteriores.

Por ejemplo, supongamos que ha creado una instancia de Amazon EC2 en una instancia de VPC con un punto de conexión de VPC para la API de control en la nube en una subred sin acceso a Internet. A continuación, debe asociar el siguiente punto de conexión de VPC a VPCE:


{
  "Statement": [
    {
      "Action": [
        "cloudformation:*",
        "ec2:*",
        "lambda:*"
      ]
      "Effect": "Allow",
      "Principal": "*",
      "Resource": "*"
    }
  ]
}

Si un usuario con acceso de administrador envía entonces una solicitud para acceder a un bucket de Amazon S3 de la instancia, no se devolverá ningún error de servicio, aunque la política de VPCE no conceda acceso a Amazon S3.

Ejemplo: política de punto de conexión de VPC para acciones de la API de control en la nube

A continuación, se muestra un ejemplo de una política de punto de conexión de la API de control en la nube. Cuando se asocia a un punto de conexión, esta política concede acceso a las acciones de la API de control en la nube mostradas para todas las entidades principales en todos los recursos. En el siguiente ejemplo, se deniega a todos los usuarios el permiso para crear recursos a través del punto de conexión de VPC y se permite el acceso completo a todas las demás acciones del servicio de la API de control en la nube.


{
  "Statement": [
    {
      "Action": "cloudformation:*",
      "Effect": "Allow",
      "Principal": "*",
      "Resource": "*"
    },
    {
      "Action": "cloudformation:CreateResource",
      "Effect": "Deny",
      "Principal": "*",
      "Resource": "*"
    }
  ]
}

Véase también

AWS servicios que se integran con AWS PrivateLink

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Seguridad

Realización de operaciones de recursos