Contrôle du cloud API et VPC points de terminaison d'interface ()AWS PrivateLink - API de contrôle du cloud
Considérations relatives aux points de API VPC terminaison Cloud ControlCréation d'un point de VPC terminaison d'interface pour Cloud Control APICréation d'une politique de VPC point de terminaison pour Cloud Control APIConsultez aussi

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Contrôle du cloud API et VPC points de terminaison d'interface ()AWS PrivateLink

Vous pouvez établir une connexion privée entre votre cloud privé virtuel (VPC) et AWS Cloud Control API en créant un point de VPCterminaison d'interface. Les points de terminaison de l'interface sont alimentés par AWS PrivateLinkune technologie qui vous permet d'accéder à Cloud Control de manière privée API APIs sans passerelle Internet, NAT appareil, VPN connexion ou connexion AWS Direct Connect. Les instances de votre VPC ordinateur n'ont pas besoin d'adresses IP publiques pour communiquer avec Cloud Control APIAPIs. Le trafic entre vous VPC et Cloud Control API ne permet pas de conserver le réseau Amazon.

Chaque point de terminaison d’interface est représenté par une ou plusieurs interfaces réseau Elastic dans vos sous-réseaux.

Pour plus d'informations, consultez la section Accès à un AWS service à l'aide d'un point de VPC terminaison d'interface dans le guide de VPC l'utilisateur Amazon.

Considérations relatives aux points de API VPC terminaison Cloud Control

Avant de configurer un point de VPC terminaison d'interface pour Cloud ControlAPI, assurez-vous de consulter les conditions requises dans le guide de l'VPCutilisateur Amazon.

Cloud Control API vous permet de passer des appels vers toutes ses API actions depuis votreVPC.

Création d'un point de VPC terminaison d'interface pour Cloud Control API

Vous pouvez créer un VPC point de terminaison pour le API service Cloud Control à l'aide de la VPC console Amazon ou du AWS Command Line Interface (AWS CLI). Pour plus d'informations, consultez la section Créer un VPC point de terminaison dans le guide de VPC l'utilisateur Amazon.

Créez un VPC point de terminaison pour Cloud Control API en utilisant le nom de service suivant :

  • com.amazonaws.region.cloudcontrol api

Si vous activez le mode privé DNS pour le point de terminaison, vous pouvez envoyer des API demandes à Cloud Control API en utilisant son DNS nom par défaut pour la région, par exemple,cloudcontrolapi.us-east-1.amazonaws.com.

Pour plus d'informations, consultez la section Accès à un AWS service à l'aide d'un point de VPC terminaison d'interface dans le guide de VPC l'utilisateur Amazon.

Création d'une politique de VPC point de terminaison pour Cloud Control API

Vous pouvez associer une politique de point de terminaison à votre VPC point de terminaison qui contrôle l'accès à Cloud ControlAPI. La politique spécifie les informations suivantes :

  • Le principal qui peut exécuter des actions.

  • Les actions qui peuvent être effectuées.

  • Les ressources sur lesquelles les actions peuvent être exécutées.

Pour plus d'informations, consultez la section Contrôle de l'accès aux services avec des VPC points de terminaison dans le guide de VPC l'utilisateur Amazon.

Important

VPCEles détails de la politique des terminaux ne sont transmis à aucun service en aval invoqué par Cloud Control à API des fins d'évaluation. De ce fait, les politiques spécifiant des actions ou des ressources appartenant aux services en aval ne sont pas appliquées.

Supposons, par exemple, que vous ayez créé une EC2 instance Amazon dans une VPC instance avec un VPC point de terminaison pour Cloud Control API dans un sous-réseau sans accès à Internet. Ensuite, vous associez la politique de VPC point de terminaison suivante à VPCE :

{
  "Statement": [
    {
      "Action": [
        "cloudformation:*",
        "ec2:*",
        "lambda:*"
      ]
      "Effect": "Allow",
      "Principal": "*",
      "Resource": "*"
    }
  ]
}

Si un utilisateur disposant d'un accès administrateur envoie ensuite une demande pour accéder à un compartiment Amazon S3 dans l'instance, aucune erreur de service ne sera renvoyée, même si l'accès à Amazon S3 n'est pas accordé dans la VPCE politique.

Exemple : politique de VPC point de terminaison pour les API actions de contrôle du cloud

Voici un exemple de politique de point de terminaison pour Cloud ControlAPI. Lorsqu'elle est attachée à un point de terminaison, cette politique accorde l'accès aux API actions Cloud Control répertoriées à tous les principaux sur toutes les ressources. L'exemple suivant refuse à tous les utilisateurs l'autorisation de créer des ressources via le VPC point de terminaison et autorise un accès complet à toutes les autres actions du API service Cloud Control.

{
  "Statement": [
    {
      "Action": "cloudformation:*",
      "Effect": "Allow",
      "Principal": "*",
      "Resource": "*"
    },
    {
      "Action": "cloudformation:CreateResource",
      "Effect": "Deny",
      "Principal": "*",
      "Resource": "*"
    }
  ]
}

Consultez aussi