Accédez à Amazon à EC2 l'aide d'un point de terminaison VPC d'interface - Amazon Elastic Compute Cloud
Création d’un point de terminaison d’un VPC d’interfaceCréer une politique de point de terminaison

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Accédez à Amazon à EC2 l'aide d'un point de terminaison VPC d'interface

Vous pouvez améliorer le niveau de sécurité de votre VPC en créant une connexion privée entre les ressources de votre VPC et l'API Amazon. EC2 Vous pouvez accéder à l' EC2 API Amazon comme si elle se trouvait dans votre VPC, sans passer par une passerelle Internet, un appareil NAT, une connexion VPN ou AWS Direct Connect une connexion. EC2 les instances de votre VPC n'ont pas besoin d'adresses IP publiques pour accéder à l'API Amazon EC2 .

Pour plus d'informations, consultez la section Accès Services AWS par AWS PrivateLink le biais du AWS PrivateLink guide.

Création d’un point de terminaison d’un VPC d’interface

Créez un point de terminaison d'interface pour Amazon EC2 en utilisant le nom de service suivant :

  • com.amazonaws. region.ec2 — Crée un point de terminaison pour les actions de EC2 l'API Amazon.

Pour plus d'informations, consultez la section Accès et Service AWS utilisation d'un point de terminaison VPC d'interface dans le AWS PrivateLink Guide.

Créer une politique de point de terminaison

Une politique de point de terminaison est une ressource IAM que vous pouvez attacher à votre point de terminaison d’interface. La politique de point de terminaison par défaut autorise un accès complet à l' EC2 API Amazon via le point de terminaison de l'interface. Pour contrôler l'accès autorisé à l' EC2 API Amazon depuis votre VPC, associez une politique de point de terminaison personnalisée au point de terminaison de l'interface.

Une politique de point de terminaison spécifie les informations suivantes :

  • Le mandataire qui peut exécuter des actions.

  • Les actions qui peuvent être effectuées.

  • La ressource sur laquelle les actions peuvent être effectuées.

Important

Lorsqu'une politique autre que celle par défaut est appliquée à un point de terminaison VPC d'interface pour EC2 Amazon, certaines demandes d'API ayant échoué, telles que celles RequestLimitExceeded provenant de, peuvent ne pas être connectées à Amazon AWS CloudTrail ou à Amazon. CloudWatch

Pour plus d’informations, consultez Contrôle de l’accès aux services à l’aide de politiques de point de terminaison dans le Guide AWS PrivateLink .

L’exemple suivant illustre une politique de point de terminaison d’un VPC qui refuse l’autorisation de créer des volumes non chiffrés ou de lancer des instances avec des volumes non chiffrés. L'exemple de politique accorde également l'autorisation d'effectuer toutes les autres EC2 actions Amazon.

{
    "Version": "2012-10-17",
    "Statement": [
    {
        "Action": "ec2:*",
        "Effect": "Allow",
        "Resource": "*",
        "Principal": "*"
    },
    {
        "Action": [
            "ec2:CreateVolume"
        ],
        "Effect": "Deny",
        "Resource": "*",
        "Principal": "*",
        "Condition": {
            "Bool": {
                "ec2:Encrypted": "false"
            }
        }
    },
    {
        "Action": [
            "ec2:RunInstances"
        ],
        "Effect": "Deny",
        "Resource": "*",
        "Principal": "*",
        "Condition": {
            "Bool": {
                "ec2:Encrypted": "false"
            }
        }
    }]
}