Menggunakan Elastic Beanstalk dengan VPC endpoint - AWS Elastic Beanstalk
Menyiapkan VPC endpoint untuk Elastic BeanstalkMenyiapkan VPC endpoint untuk kondisi yang ditingkatkanMenggunakan VPC endpoint di VPC privatMenggunakan kebijakan titik akhir untuk mengontrol akses dengan VPC endpoint

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menggunakan Elastic Beanstalk dengan VPC endpoint

VPC endpoint memungkinkan Anda untuk secara pribadi menghubungkan VPC Anda untuk didukung layanan AWS dan layanan VPC endpoint yang didukung oleh AWS PrivateLink, tanpa memerlukan gateway internet, perangkat NAT, koneksi VPN, atau koneksi AWS Direct Connect.

Instans dalam VPC Anda tidak memerlukan alamat IP publik untuk berkomunikasi dengan sumber daya dalam layanan. Lalu lintas antara VPC Anda dan layanan lainnya tidak meninggalkan jaringan Amazon. Untuk informasi lebih lanjut tentang VPC endpoint, lihat VPC Endpoints dalam Panduan Pengguna Amazon VPC.

AWS Elastic Beanstalk mendukung AWS PrivateLink, yang menyediakan konektivitas privat ke layanan Elastic Beanstalk dan menghilangkan paparan lalu lintas ke internet publik. Untuk mengaktifkan aplikasi Anda untuk mengirim permintaan ke Elastic Beanstalk menggunakan AWS PrivateLink, Anda mengonfigurasi jenis VPC endpoint yang dikenal sebagai VPC endpoint antarmuka (titik akhir antarmuka). Untuk informasi selengkapnya, lihat VPC Endpoint Antarmuka (AWS PrivateLink) dalam Panduan Pengguna Amazon VPC.

catatan

Elastic Beanstalk mendukung AWS PrivateLink dan menghubungkan VPC endpoints di sejumlah Wilayah AWS yang terbatas. Kami bekerja untuk memperluas dukungan ke lebih banyak Wilayah AWS dalam waktu dekat.

Menyiapkan VPC endpoint untuk Elastic Beanstalk

Untuk membuat antarmuka VPC endpoint untuk layanan Elastic Beanstalk di VPC Anda, ikuti prosedur Membuat Antarmuka Titik Akhir. Untuk Nama Layanan, pilih com.amazonaws.region.elasticbeanstalk.

Jika VPC Anda dikonfigurasi dengan akses internet publik, aplikasi Anda masih dapat mengakses Elastic Beanstalk melalui internet menggunakan titik akhir publik elasticbeanstalk.region.amazonaws.com. Anda dapat mencegah hal ini dengan memastikannya Aktifkan nama DNS diaktifkan selama pembuatan endpoint (true secara default). Ini menambahkan entri DNS di VPC Anda yang memetakan titik akhir layanan publik untuk antarmuka VPC endpoint.

Menyiapkan VPC endpoint untuk kondisi yang ditingkatkan

Jika Anda mengaktifkan pelaporan kondisi yang ditingkatkan untuk lingkungan Anda, Anda dapat mengonfigurasi informasi kondisi yang ditingkatkan untuk dikirim melalui AWS PrivateLink juga. Informasi kondisi yang ditingkatkan dikirim oleh daemon healthd, komponen Elastic Beanstalk pada instans lingkungan Anda, ke layanan kondisi yang ditingkatkan Elastic Beanstalk terpisah. Untuk membuat VPC endpoint antarmuka untuk layanan ini di VPC Anda, ikuti prosedur Membuat Antarmuka Titik Akhir. Untuk Nama Layanan, pilih com.amazonaws.region.elasticbeanstalk-health.

penting

Daemon healthd mengirimkan informasi kondisi yang ditingkatkan ke titik akhir publik, elasticbeanstalk-health.region.amazonaws.com. Jika VPC Anda dikonfigurasi dengan akses internet publik, dan Aktifkan nama DNS dinonaktifkan untuk VPC endpoint, informasi kondisi yang ditingkatkan melalui internet publik. Ini mungkin bukan niat Anda ketika Anda mengatur VPC endpoint kondisi yang ditingkatkan. Pastikan bahwa Aktifkan nama DNS diaktifkan (benar secara default).

Menggunakan VPC endpoint di VPC privat

Sebuah VPC pribadi, atau subnet pribadi di VPC, tidak memiliki akses internet publik. Anda mungkin ingin menjalankan lingkungan Elastic Beanstalk Anda dalam VPC pribadi dan konfigurasikan VPC endpoint antarmuka untuk keamanan yang ditingkatkan. Dalam hal ini, perhatikan bahwa lingkungan Anda mungkin mencoba untuk terhubung ke internet karena alasan lain selain menghubungi layanan Elastic Beanstalk. Untuk mempelajari lebih lanjut tentang menjalankan lingkungan di VPC pribadi, lihat Menjalankan lingkungan Elastic Beanstalk di VPC pribadi.

Menggunakan kebijakan titik akhir untuk mengontrol akses dengan VPC endpoint

Secara default, VPC endpoint memungkinkan akses penuh ke layanan yang terkait. Saat membuat atau memodifikasi titik akhir, Anda dapat melampirkan kebijakan titik akhir untuk itu.

Kebijakan endpoint adalah kebijakan sumber daya AWS Identity and Access Management (IAM) yang mengontrol akses dari titik akhir ke layanan tertentu. Kebijakan titik akhir khusus untuk titik akhir. Ini terpisah dari pengguna atau instans kebijakan IAM yang mungkin dimiliki lingkungan Anda dan tidak menimpa atau menggantikannya. Untuk rincian tentang authoring dan menggunakan kebijakan VPC endpoint, lihat Mengontrol Akses ke Layanan dengan VPC Endpoint di Panduan Pengguna Amazon VPC.

Contoh berikut menyangkal semua pengguna izin untuk mengakhiri lingkungan melalui VPC endpoint, dan memungkinkan akses penuh ke semua tindakan lainnya.

{
    "Statement": [
        {
            "Action": "*",
            "Effect": "Allow",
            "Resource": "*",
            "Principal": "*"
        },
        {
            "Action": "elasticbeanstalk:TerminateEnvironment",
            "Effect": "Deny",
            "Resource": "*",
            "Principal": "*"
        }
    ]
}
catatan

Pada saat ini, hanya layanan utama Elastic Beanstalk mendukung melampirkan kebijakan titik akhir ke VPC endpoint-nya. Layanan kondisi yang ditingkatkan tidak mendukung kebijakan titik akhir.