Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Utilisation d'Elastic Beanstalk avec les points de terminaison VPC
Un point de terminaison de VPC permet une connexion privée entre votre VPC et les services AWS pris en charge ou les services de point de terminaison de VPC alimentés par AWS PrivateLink sans nécessiter une passerelle Internet, un périphérique NAT, une connexion VPN ou une connexion AWS Direct Connect.
Les instances de votre VPC ne requièrent pas d'adresses IP publiques pour communiquer avec les ressources du service. Le trafic entre votre VPC et les autres services ne quitte pas le réseau Amazon. Pour des informations complètes sur les points de terminaison d'un VPC, veuillez consulter Points de terminaison d'un VPC dans le Guide de l'utilisateur Amazon VPC.
AWS Elastic Beanstalk prend en charge AWS PrivateLink, qui fournit une connectivité privée au service Elastic Beanstalk et élimine l'exposition du trafic à l'Internet public. Pour permettre à votre application d'envoyer des demandes à Elastic Beanstalk à l'aide d'AWS PrivateLink, vous configurez un type de point de terminaison de VPC appelé point de terminaison d'un VPC d'interface (point de terminaison d'interface). Pour de plus amples informations, consultez Points de terminaison VPC (AWS PrivateLink) dans le Guide de l'utilisateur Amazon VPC.
Note
Elastic Beanstalk prend en charge AWS PrivateLink et les points de terminaison d'un VPC d'interface dans un nombre limité de régions AWS. Nous travaillons à étendre notre support à d'autres régions AWS dans un avenir proche.
Configuration d'un point de terminaison VPC pour Elastic Beanstalk
Pour créer le point de terminaison d'un VPC d'interface pour le service Elastic Beanstalk dans votre VPC, suivez la procédure Création d'un point de terminaison d'interface. Pour Service name (Nom du service), choisissez com.amazonaws.région.elasticbeanstalk.
Si votre VPC est configuré avec un accès Internet public, votre application peut toujours accéder à Elastic Beanstalk via Internet à l'aide du point de terminaison public elasticbeanstalk.. Pour empêcher cela, assurez-vous que Enable DNS name (Activer le nom DNS) est activé lors de la création du point de terminaison (true par défaut). Cela ajoute une entrée DNS dans votre VPC qui mappe le point de terminaison du service public au point de terminaison de VPC d’interface.region.amazonaws.com
Configuration d'un point de terminaison de VPC pour l’intégrité améliorée
Si vous avez activé les rapports d'intégrité améliorée pour votre environnement, vous pouvez également configurer les informations d'intégrité améliorée à envoyer à AWS PrivateLink. Les informations d'intégrité améliorées sont envoyées par le healthd démon, un composant Elastic Beanstalk sur vos instances d'environnement, à un service d'intégrité amélioré Elastic Beanstalk distinct. Pour créer un point de terminaison d'un VPC d'interface pour ce service dans votre VPC, suivez la procédure Création d'un point de terminaison d'interface. Pour Service name (Nom du service), choisissez com.amazonaws.région.elasticbeanstalk.
Important
Le daemon healthd envoie des informations d'intégrité améliorée au point de terminaison public, elasticbeanstalk-health.. Si votre VPC est configuré avec un accès Internet public et que Enable DNS name (Activer nom DNS) est désactivé pour le point de terminaison de VPC, des informations d'intégrité améliorée circulent sur l'Internet public. Ce n'est probablement pas votre intention lorsque vous configurez un point de terminaison d’un VPC d'intégrité améliorée. Assurez-vous que Enable DNS name (Activer nom DNS) est activé (true par défaut).region.amazonaws.com
Utilisation de points de terminaison d’un VPC dans un VPC privé
Un VPC privé, ou un sous-réseau privé dans un VPC, n'a pas d'accès Internet public. Vous pouvez exécuter votre environnement Elastic Beanstalk dans un VPC privé et configurer des points de terminaison de VPC d'interface pour une sécurité renforcée. Dans ce cas, sachez que votre environnement peut essayer de se connecter à Internet pour d'autres raisons que celle de contacter le service Elastic Beanstalk. Pour en savoir plus sur l'exécution d'un environnement dans un VPC privé, consultez Exécution d'un environnement Elastic Beanstalk dans un VPC privé.
Utilisation des stratégies de point de terminaison pour contrôler l'accès avec des points de terminaison de VPC
Par défaut, un point de terminaison de VPC permet un accès complet au service auquel il est associé. Lorsque vous créez ou modifiez un point de terminaison, vous pouvez y attacher une stratégie de point de terminaison.
Une politique de point de terminaison est une politique de ressource AWS Identity and Access Management (IAM) qui contrôle l'accès du point de terminaison au service spécifié. La stratégie de point de terminaison est spécifique au point de terminaison. Elle est distincte des stratégies IAM d'utilisateur ou d'instance que votre environnement peut avoir et ne les remplace pas. Pour de plus amples informations sur la création et l'utilisation des stratégies de point de terminaison de VPC, veuillez consulter Contrôler l'accès aux services avec des points de terminaison de VPC dans le Guide de l'utilisateur Amazon VPC.
Dans l’exemple suivant, on refuse à tous les utilisateurs l'autorisation de mettre fin à un environnement via le point de terminaison de VPC et on autorise un accès complet à toutes les autres actions.
{ "Statement": [ { "Action": "*", "Effect": "Allow", "Resource": "*", "Principal": "*" }, { "Action": "elasticbeanstalk:TerminateEnvironment", "Effect": "Deny", "Resource": "*", "Principal": "*" } ] }
Note
À ce moment-là, seul le service Elastic Beanstalk principal prend en charge l'attachement d'une stratégie de point de terminaison à son point de terminaison de VPC. Le service d'intégrité améliorée ne prend pas en charge les stratégies de point de terminaison.
