Accès AWS Batch via un point de terminaison d'interface - AWS Batch
ConsidérationsCréation d’un point de terminaison d’interfaceCréation d’une politique de point de terminaison

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Accès AWS Batch via un point de terminaison d'interface

Vous pouvez l'utiliser AWS PrivateLink pour créer une connexion privée entre votre VPC et. AWS Batch Vous pouvez y accéder AWS Batch comme s'il se trouvait dans votre VPC, sans utiliser de passerelle Internet, de périphérique NAT, de connexion VPN ou AWS Direct Connect de connexion. Les instances de votre VPC n'ont pas besoin d'adresses IP publiques pour y accéder. AWS Batch

Vous établissez cette connexion privée en créant un point de terminaison d’interface optimisé par AWS PrivateLink. Nous créons une interface réseau de point de terminaison dans chaque sous-réseau que vous activez pour le point de terminaison d’interface. Il s'agit d'interfaces réseau gérées par le demandeur qui servent de point d'entrée pour le trafic destiné à AWS Batch.

Pour plus d'informations, consultez la section Points de terminaison VPC de l'interface dans le Guide.AWS PrivateLink

Considérations relatives à AWS Batch

Avant de configurer un point de terminaison d'interface pour AWS Batch, consultez les propriétés et les limites du point de terminaison d'interface dans le AWS PrivateLink Guide.

AWS Batch prend en charge les appels à toutes ses actions d'API via le point de terminaison de l'interface.

Avant de configurer les points de terminaison VPC d'interface pour AWS Batch, tenez compte des points suivants :

  • Les tâches utilisant le type de lancement de ressources Fargate ne nécessitent pas les points de terminaison VPC d'interface pour Amazon ECS, mais vous pourriez avoir besoin de points de terminaison VPC d'interface pour AWS Batch Amazon ECR, Secrets Manager ou Amazon Logs décrits dans les points suivants. CloudWatch

    • Pour exécuter des tâches, vous devez créer les points de terminaison VPC de l'interface pour Amazon ECS. Pour plus d'informations, consultez Interface VPC Endpoints (AWS PrivateLink) dans le manuel Amazon Elastic Container Service Developer Guide.

    • Pour permettre à vos tâches d'extraire des images privées d'Amazon ECR, vous devez créer les points de terminaison VPC d'interface pour Amazon ECR. Pour de plus amples informations, veuillez consulter Points de terminaison d’un VPC d'interface (AWS PrivateLink) dans le Guide de l'utilisateur Amazon Elastic Container Registry.

    • Pour permettre à vos tâches d'extraire des données sensibles de Secrets Manager, vous devez créer les points de terminaison VPC d'interface pour Secrets Manager. Pour de plus amples informations, veuillez consulter Utilisation de Secrets Manager avec des points de terminaison de VPC dans le Guide de l'utilisateur AWS Secrets Manager .

    • Si votre VPC ne possède pas de passerelle Internet et que vos tâches utilisent le pilote de journal pour envoyer les informations de awslogs journal aux CloudWatch journaux, vous devez créer un point de terminaison VPC d'interface pour les journaux. CloudWatch Pour plus d'informations, consultez la section Utilisation CloudWatch des journaux avec les points de terminaison VPC d'interface dans le guide de l'utilisateur Amazon CloudWatch Logs.

  • Les tâches utilisant les ressources EC2 nécessitent que les instances de conteneur sur lesquelles elles sont lancées exécutent la version 1.25.1 ou une version ultérieure de l'agent de conteneur Amazon ECS. Pour plus d'informations, consultez les versions de l'agent de conteneur Amazon ECS Linux dans le manuel du développeur Amazon Elastic Container Service.

  • Les points de terminaison d'un VPC ne prennent pas en charge les demandes inter-régions pour le moment. Veillez à créer votre point de terminaison dans la même région que celle dans laquelle vous souhaitez envoyer vos appels d'API à AWS Batch.

  • Les points de terminaison d'un VPC prennent uniquement en charge le DNS fourni par Amazon via Amazon Route 53. Si vous souhaitez utiliser votre propre DNS, vous pouvez utiliser le transfert DNS conditionnel. Pour en savoir plus, consultez Jeux d'options DHCP dans le Guide de l'utilisateur Amazon VPC.

  • Le groupe de sécurité attaché au point de terminaison d'un VPC doit autoriser les connexions entrantes sur le port 443 à partir du sous-réseau privé du VPC.

  • AWS Batch ne prend pas en charge les points de terminaison d'interface VPC dans les cas suivants : Régions AWS

    • Asie-Pacifique(Osaka) (ap-northeast-3)

    • Asie-Pacifique (Jakarta) (ap-southeast-3)

Créez un point de terminaison d'interface pour AWS Batch

Vous pouvez créer un point de terminaison d'interface pour AWS Batch utiliser la console Amazon VPC ou le AWS Command Line Interface ()AWS CLI. Pour plus d’informations, consultez Création d’un point de terminaison d’interface dans le Guide AWS PrivateLink .

Créez un point de terminaison d'interface pour AWS Batch utiliser le nom de service suivant :

com.amazonaws.region.batch

Par exemple :

com.amazonaws.us-east-2.batch

Dans la aws-cn partition, le format est différent :

cn.com.amazonaws.region.batch

Par exemple :

cn.com.amazonaws.cn-northwest-1.batch

Si vous activez le DNS privé pour le point de terminaison de l'interface, vous pouvez envoyer des demandes d'API AWS Batch en utilisant son nom DNS régional par défaut. Par exemple, batch.us-east-1.amazonaws.com.

Pour plus d'informations, consultez la section Accès à un service via un point de terminaison d'interface dans le AWS PrivateLink Guide.

Création d’une politique de point de terminaison pour votre point de terminaison d’interface

Une politique de point de terminaison est une ressource IAM que vous pouvez attacher à votre point de terminaison d’interface. La politique de point de terminaison par défaut autorise un accès complet AWS Batch via le point de terminaison de l'interface. Pour contrôler l'accès autorisé AWS Batch depuis votre VPC, associez une politique de point de terminaison personnalisée au point de terminaison de l'interface.

Une politique de point de terminaison spécifie les informations suivantes :

  • Les principaux qui peuvent effectuer des actions (Comptes AWS utilisateurs et rôles IAM).

  • Les actions qui peuvent être effectuées.

  • La ressource sur laquelle les actions peuvent être effectuées.

Pour plus d’informations, consultez Contrôle de l’accès aux services à l’aide de politiques de point de terminaison dans le Guide AWS PrivateLink .

Exemple : politique de point de terminaison VPC pour les actions AWS Batch

Voici un exemple de politique de point de terminaison personnalisée. Lorsque vous attachez cette politique au point de terminaison de votre interface, elle accorde l'accès aux AWS Batch actions répertoriées à tous les principaux sur toutes les ressources.

{
   "Statement": [
      {
         "Principal": "*",
         "Effect": "Allow",
         "Action": [
            "batch:SubmitJob",
            "batch:ListJobs",
            "batch:DescribeJobs"
         ],
         "Resource":"*"
      }
   ]
}