API de AWS Directory Service y puntos de conexión de interfaz de Amazon VPC mediante AWS PrivateLink
Puede usar un AWS PrivateLink para crear una conexión privada entre la VPC y las API de AWS Directory Service y de Directory Service Data. Esto le permite acceder a las API de AWS Directory Service y de Directory Service Data como si estuvieran en su VPC, sin el uso de una puerta de enlace de Internet, un dispositivo NAT, una conexión VPN o una conexión AWS Direct Connect. Las instancias de Amazon VPC no necesitan direcciones IP públicas para acceder a las API de AWS Directory Service y de Directory Service Data.
Para establecer una conexión privada, debe crear un punto de conexión de interfaz de Amazon VPC que AWS PrivateLink alimenta. Creamos una interfaz de red de punto de conexión en cada subred habilitada para el punto de conexión de interfaz. Se trata de interfaces de red administradas por el solicitante que sirven como punto de entrada para el tráfico destinado a AWS Directory Service y AWS Directory Service Data.
Para obtener más información, consulte Acceso a los Servicios de AWS a través de AWS PrivateLink en la Guía de AWS PrivateLink.
Consideraciones sobre AWS Directory Service y Directory Service Data
Con AWS Directory Service y Directory Service Data, puede llamar a las acciones de la API a través de los puntos de conexión de interfaz. Para obtener información sobre los requisitos previos que debe tener en cuenta antes de crear un punto de conexión de interfaz, consulte Acceder a un Servicio de AWS mediante un punto de conexión de interfaz de Amazon VPC en la Guía de AWS PrivateLink.
Disponibilidad de AWS Directory Service y de Directory Service Data
AWS Directory Service admite puntos de conexión de interfaz en las siguientes Regiones de AWS:
-
Este de EE. UU. (Norte de Virginia)
-
AWS GovCloud (Este de EE. UU.)
-
AWS GovCloud (Oeste de EE. UU.)
Directory Service Data admite puntos de conexión de interfaz en todas las Regiones de AWS donde está disponible. Para obtener información sobre las Regiones de AWS que son compatibles con AWS Directory Service y Directory Service Data, consulte Disponibilidad de regiones para AWS Directory Service.
Creación de un punto de conexión de interfaz de Amazon VPC para AWS Directory Service y Directory Service Data
Puede crear un punto de conexión de interfaz para las API de AWS Directory Service y de Directory Service Data mediante la consola de Amazon VPC o AWS Command Line Interface (AWS CLI).
Ejemplo: AWS Directory Service
Cree un punto de conexión para las API de AWS Directory Service mediante el siguiente nombre de servicio:
com.amazonaws.region.ds
Ejemplo: Directory Service Data
Cree un punto de conexión de interfaz para las API de Directory Service Data mediante el siguiente nombre de servicio:
com.amazonaws.region.ds-data
Para obtener más información sobre la creación de un punto de conexión de interfaz, consulte Acceder a un Servicio de AWS mediante un punto de conexión de interfaz de Amazon VPC en la Guía de AWS PrivateLink.
Creación de una política de punto de conexión de Amazon VPC para su punto de conexión de interfaz de Amazon VPC
Una política de punto de conexión es una política de recurso de IAM que puede adjuntar a un punto de conexión de interfaz.
nota
Si no asocia una política de punto de conexión al punto de conexión de interfaz, AWS PrivateLink asocia una política de punto de conexión predeterminada al punto de conexión de interfaz en su nombre. Para obtener más información, consulte Conceptos de AWS PrivateLink.
Una política de punto de conexión especifica la siguiente información:
-
Entidades principales (Cuentas de AWS, usuarios de IAM y roles de IAM) que pueden llevar a cabo acciones
-
Las acciones que se pueden realizar
-
Los recursos en los que se pueden realizar las acciones
Para obtener más información, consulte Control del acceso a los servicios con políticas de punto de conexión en la Guía del usuario de AWS PrivateLink.
Puede controlar el acceso a las API desde Amazon VPC al asociar una política de puntos de conexión personalizada al punto de conexión de interfaz.
Ejemplo: política de punto de conexión de Amazon VPC para acciones de la API de AWS Directory Service
A continuación, se muestra un ejemplo de una política de un punto de conexión personalizada. Cuando se adjunta esta política a un punto de conexión de interfaz, concede acceso a las acciones de AWS Directory Service para todas las entidades principales en todos los recursos.
Sustituya las acciones action-1, action-2 y action-3 por los permisos necesarios para las API de AWS Directory Service que quiera incluir en la política. Para obtener una lista completa, consulte Permisos de la API de AWS Directory Service: referencia de acciones, recursos y condiciones.
{ "Statement": [ { "Principal": "*", "Effect": "Allow", "Action": [ "ds:action-1", "ds:action-2", "ds:action-3" ], "Resource":"*" } ] }
Ejemplo: política de punto de conexión de Amazon VPC para acciones de la API de Directory Service Data
El siguiente es un ejemplo de una política de un punto de conexión personalizado. Cuando se asocia con un punto de conexión, esta política concede acceso a las acciones de Directory Service Data enumeradas para todas las entidades principales en todos los recursos.
Sustituya las acciones action-1, action-2 y action-3 por los permisos necesarios para las API de Directory Service Data que quiera incluir en la política. Para obtener una lista completa, consulte Permisos de la API de AWS Directory Service: referencia de acciones, recursos y condiciones.
{ "Statement": [ { "Principal": "*", "Effect": "Allow", "Action": [ "ds-data:action-1", "ds-data:action-2", "ds-data:action-3" ], "Resource":"*" } ] }
