Accès AWS Application Discovery Service via un point de terminaison d'interface (AWS PrivateLink) - AWS Application Discovery Service
ConsidérationsCréation d’un point de terminaison d’interfaceCréation d’une politique de point de terminaisonUtilisation du VPC point de terminaison pour le collecteur sans agent et AWS l'agent de découverte d'applications

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Accès AWS Application Discovery Service via un point de terminaison d'interface (AWS PrivateLink)

Vous pouvez l'utiliser AWS PrivateLink pour créer une connexion privée entre votre VPC et AWS Application Discovery Service. Vous pouvez accéder à Application Discovery Service comme s'il se trouvait dans votre ordinateurVPC, sans passer par une passerelle Internet, un NAT appareil, une VPN connexion ou une AWS Direct Connect connexion. Les instances de votre VPC ordinateur n'ont pas besoin d'adresses IP publiques pour accéder à Application Discovery Service.

Vous établissez cette connexion privée en créant un point de terminaison d’interface optimisé par AWS PrivateLink. Nous créons une interface réseau de point de terminaison dans chaque sous-réseau que vous activez pour le point de terminaison d’interface. Il s'agit d'interfaces réseau gérées par les demandeurs qui servent de point d'entrée pour le trafic destiné à Application Discovery Service.

Pour plus d’informations, consultez Accès aux Services AWS via AWS PrivateLink dans le Guide AWS PrivateLink .

Considérations relatives à Application Discovery Service

Avant de configurer un point de terminaison d'interface pour Application Discovery Service, consultez la section Accès à un AWS service à l'aide d'un point de VPC terminaison d'interface dans le AWS PrivateLink Guide.

Application Discovery Service prend en charge deux interfaces : l'une pour appeler toutes ses API actions, et l'autre pour que le collecteur sans agent et l'agent de découverte AWS d'applications envoient les données de découverte.

Création d’un point de terminaison d’interface

Vous pouvez créer un point de terminaison d'interface à l'aide de VPC la console Amazon ou du AWS Command Line Interface (AWS CLI). Pour plus d'informations, consultez la section Accès à un AWS service à l'aide d'un point de VPC terminaison d'interface dans le AWS PrivateLink Guide.

For Application Discovery Service

Créez un point de terminaison d'interface pour Application Discovery Service en utilisant le nom de service suivant :

com.amazonaws.region.discovery

Si vous activez le mode privé DNS pour le point de terminaison de l'interface, vous pouvez envoyer des API demandes à Application Discovery Service en utilisant son DNS nom régional par défaut. Par exemple, discovery.us-east-1.amazonaws.com.

For Agentless Collector and AWS Application Discovery Agent

Créez un point de terminaison d'interface en utilisant le nom de service suivant :

com.amazonaws.region.arsenal-discovery

Si vous activez le mode privé DNS pour le point de terminaison de l'interface, vous pouvez envoyer des API demandes à Application Discovery Arsenal en utilisant son DNS nom régional par défaut. Par exemple, arsenal-discovery.us-east-1.amazonaws.com.

Création d’une politique de point de terminaison pour votre point de terminaison d’interface

Une politique de point de terminaison est une IAM ressource que vous pouvez associer à un point de terminaison d'interface. La politique de point de terminaison par défaut permet un accès complet à un AWS service via le point de terminaison de l'interface. Pour contrôler l'accès autorisé à un AWS service depuis votre navigateurVPC, associez une politique de point de terminaison personnalisée au point de terminaison de l'interface.

Une politique de point de terminaison spécifie les informations suivantes :

  • Les principaux qui peuvent effectuer des actions (Comptes AWS IAMutilisateurs et IAM rôles).

  • Les actions qui peuvent être effectuées.

Pour plus d’informations, consultez Contrôle de l’accès aux services à l’aide de politiques de point de terminaison dans le Guide AWS PrivateLink .

Exemple : politiques relatives aux VPC terminaux

Voici un exemple de politique de point de terminaison. Lorsque vous attachez cette politique à votre point de terminaison d'interface, elle accorde l'accès aux actions répertoriées pour tous les principaux sur toutes les ressources.

Example policy for Application Discovery Service
{
   "Statement": [
      {
         "Principal": "*",
         "Effect": "Allow",
         "Action": [
            "discovery:action-1",
            "discovery:action-2",
            "discovery:action-3"
         ],
         "Resource":"*"
      }
   ]
}
Example policy for the Agentless Collector and AWS Application Discovery Agent
{
   "Statement": [
      {
         "Principal": "*",
         "Effect": "Allow",
         "Action": [
            "arsenal:RegisterOnPremisesAgent"
         ],
         "Resource":"*"
      }
   ]
}

Utilisation du VPC point de terminaison pour le collecteur sans agent et AWS l'agent de découverte d'applications

Le collecteur sans agent et l'agent de découverte AWS d'applications ne prennent pas en charge les points de terminaison configurables. Utilisez plutôt la DNS fonctionnalité privée pour le point de VPC terminaison arsenal-discovery Amazon.

  • Configurez la table de AWS Direct Connect routage pour acheminer les adresses AWS IP privées vers leVPC. Par exemple, destination = 10.0.0.0/8 et cible = local. Pour cette configuration, vous devez au moins acheminer les adresses IP privées des points de VPC terminaison arsenal-discovery Amazon vers leVPC.

  • Utilisez la DNS fonctionnalité arsenal-discovery Amazon VPC Endpoint Private, car l'Agentless Collector ne prend pas en charge les points de terminaison configurables d'Arsenal.

  • Configurez le point de VPC terminaison arsenal-discovery Amazon dans un sous-réseau privé avec le même que celui VPC vers lequel vous acheminez le AWS Direct Connect trafic.

  • Configurez le point de VPC terminaison arsenal-discovery Amazon avec un groupe de sécurité qui active le trafic entrant depuis le VPC (par exemple, 10.0.0.0/8).

  • Configurez un résolveur entrant Amazon Route 53 pour acheminer la DNS résolution du DNS nom privé du point de VPC terminaison arsenal-discovery Amazon, qui sera résolue vers l'adresse IP privée du point de terminaison. VPC Si vous ne le faites pas, le collecteur effectuera la DNS résolution à l'aide du résolveur local et utilisera le point de terminaison public Arsenal, et le trafic ne passera pas par le. VPC

  • Si tout le trafic public est désactivé, la fonctionnalité de mise à jour automatique échouera. Cela est dû au fait que le collecteur sans agent récupère les mises à jour en envoyant des demandes au point de terminaison AmazonECR. Pour que la fonctionnalité de mise à jour automatique fonctionne sans envoyer de demandes via Internet public, configurez un VPC point de terminaison pour le ECR service Amazon et activez la DNS fonctionnalité privée pour ce point de terminaison.