Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Kontrol Cloud API dan VPC titik akhir antarmuka ()AWS PrivateLink
Anda dapat membuat koneksi pribadi antara virtual private cloud (VPC) dan AWS Cloud Control API dengan membuat VPCtitik akhir antarmuka. Endpoint antarmuka didukung oleh AWS PrivateLink
Setiap titik akhir antarmuka diwakili oleh satu atau beberapa Antarmuka Jaringan Elastis di subnet Anda.
Untuk informasi selengkapnya, lihat Mengakses AWS layanan menggunakan VPC titik akhir antarmuka di Panduan VPC Pengguna Amazon.
Pertimbangan untuk titik akhir Cloud Control API VPC
Sebelum menyiapkan VPC titik akhir antarmuka untuk Cloud ControlAPI, pastikan Anda meninjau Prasyarat di Panduan Pengguna Amazon. VPC
Cloud Control API mendukung panggilan ke semua API tindakannya dari AndaVPC.
Membuat VPC titik akhir antarmuka untuk Cloud Control API
Anda dapat membuat VPC titik akhir untuk API layanan Cloud Control menggunakan VPC konsol Amazon atau AWS Command Line Interface (AWS CLI). Untuk informasi selengkapnya, lihat Membuat VPC titik akhir di Panduan VPC Pengguna Amazon.
Membuat VPC endpoint untuk Cloud Control API menggunakan nama layanan berikut:
-
com.amazonaws.
region.cloudcontrolapi
Jika Anda mengaktifkan privat DNS untuk titik akhir, Anda dapat membuat API permintaan ke Cloud Control API menggunakan DNS nama defaultnya untuk Wilayah, misalnya,cloudcontrolapi.us-east-1.amazonaws.com.
Untuk informasi selengkapnya, lihat Mengakses AWS layanan menggunakan VPC titik akhir antarmuka di Panduan VPC Pengguna Amazon.
Membuat kebijakan VPC endpoint untuk Cloud Control API
Anda dapat melampirkan kebijakan titik akhir ke VPC titik akhir yang mengontrol akses ke Cloud Control. API Kebijakan titik akhir menentukan informasi berikut:
-
Prinsipal yang dapat melakukan tindakan.
-
Tindakan yang dapat dilakukan.
-
Sumber daya yang menjadi target tindakan.
Untuk informasi selengkapnya, lihat Mengontrol akses ke layanan dengan VPC titik akhir di Panduan VPC Pengguna Amazon.
penting
VPCEDetail kebijakan endpoint tidak diteruskan ke layanan hilir apa pun yang dipanggil oleh Cloud Control API untuk evaluasi. Karena itu, kebijakan yang menentukan tindakan atau sumber daya milik layanan hilir tidak diberlakukan.
Misalnya, Anda membuat EC2 instance Amazon dalam sebuah VPC instance dengan VPC endpoint untuk Cloud Control API di subnet tanpa akses Internet. Selanjutnya, Anda melampirkan kebijakan VPC endpoint berikut keVPCE:
{ "Statement": [ { "Action": [ "cloudformation:*", "ec2:*", "lambda:*" ] "Effect": "Allow", "Principal": "*", "Resource": "*" } ] }
Jika pengguna dengan akses administrator kemudian mengirim permintaan untuk mengakses bucket Amazon S3 dalam instance, tidak ada kesalahan layanan yang akan dikembalikan, meskipun akses Amazon S3 tidak diberikan dalam kebijakan. VPCE
Contoh: kebijakan VPC endpoint untuk tindakan Cloud Control API
Berikut ini adalah contoh kebijakan endpoint untuk Cloud ControlAPI. Saat dilampirkan ke titik akhir, kebijakan ini memberikan akses ke API tindakan Kontrol Cloud yang terdaftar untuk semua prinsipal di semua sumber daya. Contoh berikut menolak semua pengguna izin untuk membuat sumber daya melalui VPC titik akhir, dan memungkinkan akses penuh ke semua tindakan lain pada layanan Cloud ControlAPI.
{ "Statement": [ { "Action": "cloudformation:*", "Effect": "Allow", "Principal": "*", "Resource": "*" }, { "Action": "cloudformation:CreateResource", "Effect": "Deny", "Principal": "*", "Resource": "*" } ] }
Lihat juga
