Utilisation de points de terminaison d'un VPC - AWS Panorama

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Utilisation de points de terminaison d'un VPC

Si vous travaillez dans un VPC sans accès à Internet, vous pouvez créer un point de terminaison VPC à utiliser avec AWS Panorama. Un point de terminaison VPC permet aux clients s'exécutant dans un sous-réseau privé de se connecter à un service AWS sans connexion Internet.

Pour plus de détails sur les ports et les points de terminaison utilisés par l'appliance AWS Panorama, consultezConnexion de l'appliance AWS Panorama à votre réseau.

Création d'un point de terminaison d'un VPC

Pour établir une connexion privée entre votre VPC et AWS Panorama, créez un point de terminaison VPC. Il n'est pas nécessaire de disposer d'un point de terminaison VPC pour utiliser AWS Panorama. Vous ne devez créer un point de terminaison VPC que si vous travaillez dans un VPC sans accès à Internet. Lorsque la CLI ou le SDK AWS tente de se connecter à AWS Panorama, le trafic est acheminé via le point de terminaison VPC.

Créez un point de terminaison VPC pour AWS Panorama à l'aide des paramètres suivants :

  • Nom du servicecom.amazonaws.us-west-2.panorama

  • TypeInterface

Un point de terminaison VPC utilise le nom DNS du service pour obtenir le trafic des clients du SDK AWS sans aucune configuration supplémentaire. Pour plus d'informations sur l'utilisation des points de terminaison VPC, consultez la section Points de terminaison VPC d'interface dans le guide de l'utilisateur Amazon VPC.

Connexion d'une appliance à un sous-réseau privé

L'appliance AWS Panorama peut se connecter AWS via une connexion VPN privée avec AWS Site-to-Site VPN ouAWS Direct Connect. Grâce à ces services, vous pouvez créer un sous-réseau privé qui s'étend à votre centre de données. L'appliance se connecte au sous-réseau privé et accède aux AWS services via les points de terminaison VPC.

Les VPN de site à site AWS Direct Connect sont des services permettant de connecter votre centre de données à Amazon VPC en toute sécurité. Avec le VPN Site-to-Site, vous pouvez utiliser des appareils réseau disponibles dans le commerce pour vous connecter. AWS Direct Connectutilise un AWS appareil pour se connecter.

Après avoir connecté votre réseau local à un sous-réseau privé d'un VPC, créez des points de terminaison VPC pour les services suivants.

L'appliance n'a pas besoin d'être connectée au service AWS Panorama. Il communique avec AWS Panorama via un canal de messagerie enAWS IoT.

Outre les points de terminaison VPC, Amazon S3 AWS IoT nécessite l'utilisation de zones hébergées privées Amazon Route 53. La zone hébergée privée achemine le trafic depuis les sous-domaines, y compris les sous-domaines des points d'accès Amazon S3 et des sujets MQTT, vers le point de terminaison VPC approprié. Pour plus d'informations sur les zones hébergées privées, consultez la section Travailler avec des zones hébergées privées dans le guide du développeur Amazon Route 53.

Pour un exemple de configuration VPC avec des points de terminaison VPC et des zones hébergées privées, consultez. Exemples de AWS CloudFormation modèles

Exemples de AWS CloudFormation modèles

Le GitHub référentiel de ce guide fournit des AWS CloudFormation modèles que vous pouvez utiliser pour créer des ressources à utiliser avec AWS Panorama. Les modèles créent un VPC avec deux sous-réseaux privés, un sous-réseau public et un point de terminaison VPC. Vous pouvez utiliser les sous-réseaux privés du VPC pour héberger des ressources isolées d'Internet. Les ressources du sous-réseau public peuvent communiquer avec les ressources privées, mais les ressources privées ne sont pas accessibles depuis Internet.

Exemple vpc-endpoint.yml — Sous-réseaux privés
AWSTemplateFormatVersion: 2010-09-09 Resources: vpc: Type: AWS::EC2::VPC Properties: CidrBlock: 172.31.0.0/16 EnableDnsHostnames: true EnableDnsSupport: true Tags: - Key: Name Value: !Ref AWS::StackName privateSubnetA: Type: AWS::EC2::Subnet Properties: VpcId: !Ref vpc AvailabilityZone: Fn::Select: - 0 - Fn::GetAZs: "" CidrBlock: 172.31.3.0/24 MapPublicIpOnLaunch: false Tags: - Key: Name Value: !Sub ${AWS::StackName}-subnet-a ...

Le vpc-endpoint.yml modèle montre comment créer un point de terminaison VPC pour AWS Panorama. Vous pouvez utiliser ce point de terminaison pour gérer les ressources AWS Panorama avec le AWS SDK ouAWS CLI.

Exemple vpc-endpoint.yml — Point de terminaison VPC
panoramaEndpoint: Type: AWS::EC2::VPCEndpoint Properties: ServiceName: !Sub com.amazonaws.${AWS::Region}.panorama VpcId: !Ref vpc VpcEndpointType: Interface SecurityGroupIds: - !GetAtt vpc.DefaultSecurityGroup PrivateDnsEnabled: true SubnetIds: - !Ref privateSubnetA - !Ref privateSubnetB PolicyDocument: Version: 2012-10-17 Statement: - Effect: Allow Principal: "*" Action: - "panorama:*" Resource: - "*"

PolicyDocumentIl s'agit d'une politique d'autorisation basée sur les ressources qui définit les appels d'API qui peuvent être effectués avec le point de terminaison. Vous pouvez modifier la politique afin de restreindre les actions et les ressources accessibles via le point de terminaison. Pour plus d’informations, consultez Contrôle de l’accès aux services avec points de terminaison d’un VPC dans le Guide de l’utilisateur Amazon VPC.

Le vpc-appliance.yml modèle montre comment créer des points de terminaison VPC et des zones hébergées privées pour les services utilisés par l'appliance AWS Panorama.

Exemple vpc-appliance.yml — Point de terminaison du point d'accès Amazon S3 avec zone hébergée privée
s3Endpoint: Type: AWS::EC2::VPCEndpoint Properties: ServiceName: !Sub com.amazonaws.${AWS::Region}.s3 VpcId: !Ref vpc VpcEndpointType: Interface SecurityGroupIds: - !GetAtt vpc.DefaultSecurityGroup PrivateDnsEnabled: false SubnetIds: - !Ref privateSubnetA - !Ref privateSubnetB ... s3apHostedZone: Type: AWS::Route53::HostedZone Properties: Name: !Sub s3-accesspoint.${AWS::Region}.amazonaws.com VPCs: - VPCId: !Ref vpc VPCRegion: !Ref AWS::Region s3apRecords: Type: AWS::Route53::RecordSet Properties: HostedZoneId: !Ref s3apHostedZone Name: !Sub "*.s3-accesspoint.${AWS::Region}.amazonaws.com" Type: CNAME TTL: 600 # first DNS entry, split on :, second value ResourceRecords: - !Select [1, !Split [":", !Select [0, !GetAtt s3Endpoint.DnsEntries ] ] ]

Les exemples de modèles illustrent la création de ressources Amazon VPC et Route 53 avec un exemple de VPC. Vous pouvez les adapter à votre cas d'utilisation en supprimant les ressources VPC et en remplaçant les références aux identifiants de sous-réseau, de groupe de sécurité et de VPC par les identifiants de vos ressources.