Accesso AWS Application Discovery Service tramite un endpoint di interfaccia ()AWS PrivateLink - AWS Servizio Application Discovery
ConsiderazioniCreazione di un endpoint di interfacciaCreazione di una policy dell'endpointUtilizzo dell'VPCendpoint per Agentless Collector e Application Discovery Agent AWS

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Accesso AWS Application Discovery Service tramite un endpoint di interfaccia ()AWS PrivateLink

Puoi usare AWS PrivateLink per creare una connessione privata tra il tuo VPC e AWS Application Discovery Service. Puoi accedere ad Application Discovery Service come se fosse nel tuo computerVPC, senza l'uso di un gateway, NAT dispositivo, VPN connessione o AWS Direct Connect connessione Internet. Le istanze del tuo VPC non hanno bisogno di indirizzi IP pubblici per accedere ad Application Discovery Service.

Stabilisci questa connessione privata creando un endpoint di interfaccia attivato da AWS PrivateLink. In ciascuna sottorete viene creata un'interfaccia di rete endpoint da abilitare per l'endpoint di interfaccia. Si tratta di interfacce di rete gestite dai richiedenti che fungono da punto di ingresso per il traffico destinato all'Application Discovery Service.

Per ulteriori informazioni, consulta la sezione Accesso a Servizi AWS tramite AWS PrivateLink nella Guida di AWS PrivateLink .

Considerazioni per Application Discovery Service

Prima di configurare un endpoint di interfaccia per Application Discovery Service, consulta Accedere a un AWS servizio utilizzando un VPC endpoint di interfaccia nella AWS PrivateLink Guida.

Application Discovery Service supporta due interfacce: una per effettuare chiamate a tutte le sue API azioni e una seconda per Agentless Collector e AWS Application Discovery Agent per inviare dati di rilevamento.

Creazione di un endpoint di interfaccia

Puoi creare un endpoint di interfaccia utilizzando la VPC console Amazon o AWS Command Line Interface (AWS CLI). Per ulteriori informazioni, consulta Accedere a un AWS servizio utilizzando un VPC endpoint di interfaccia nella AWS PrivateLink Guida.

For Application Discovery Service

Crea un endpoint di interfaccia per Application Discovery Service utilizzando il seguente nome di servizio:

com.amazonaws.region.discovery

Se si abilita private DNS per l'endpoint dell'interfaccia, è possibile effettuare API richieste a Application Discovery Service utilizzando il DNS nome regionale predefinito. Ad esempio discovery.us-east-1.amazonaws.com.

For Agentless Collector and AWS Application Discovery Agent

Crea un endpoint di interfaccia utilizzando il seguente nome di servizio:

com.amazonaws.region.arsenal-discovery

Se abiliti private DNS per l'endpoint dell'interfaccia, puoi effettuare API richieste a Application Discovery Arsenal utilizzando il nome regionale predefinito. DNS Ad esempio arsenal-discovery.us-east-1.amazonaws.com.

Creazione di una policy dell' endpoint per l'endpoint dell'interfaccia

Una policy per gli endpoint è una IAM risorsa che è possibile allegare a un endpoint di interfaccia. La policy predefinita per gli endpoint consente l'accesso completo a un AWS servizio tramite l'endpoint dell'interfaccia. Per controllare l'accesso consentito a un AWS servizio dal tuoVPC, allega una policy personalizzata per l'endpoint all'endpoint di interfaccia.

Una policy di endpoint specifica le informazioni riportate di seguito:

  • I principali che possono eseguire azioni (IAMutenti Account AWS e IAM ruoli).

  • Le azioni che possono essere eseguite.

Per ulteriori informazioni, consulta la sezione Controllo dell'accesso ai servizi con policy di endpoint nella Guida di AWS PrivateLink .

Esempio: politiche relative agli VPC endpoint

Di seguito è riportato l'esempio di una policy dell'endpoint personalizzata. Se collegata a un endpoint dell'interfaccia, questa policy concede l'accesso alle operazioni elencate per tutti i principali su tutte le risorse.

Example policy for Application Discovery Service
{
   "Statement": [
      {
         "Principal": "*",
         "Effect": "Allow",
         "Action": [
            "discovery:action-1",
            "discovery:action-2",
            "discovery:action-3"
         ],
         "Resource":"*"
      }
   ]
}
Example policy for the Agentless Collector and AWS Application Discovery Agent
{
   "Statement": [
      {
         "Principal": "*",
         "Effect": "Allow",
         "Action": [
            "arsenal:RegisterOnPremisesAgent"
         ],
         "Resource":"*"
      }
   ]
}

Utilizzo dell'VPCendpoint per Agentless Collector e Application Discovery Agent AWS

Agentless Collector e AWS Application Discovery Agent non supportano endpoint configurabili. Utilizza invece la DNS funzionalità privata per l'VPCendpoint arsenal-discovery Amazon.

  • Configura la tabella di AWS Direct Connect routing per indirizzare gli indirizzi AWS IP privati versoVPC. Ad esempio, destination = 10.0.0.0/8 e target = local. Per questa configurazione è necessario almeno il routing degli indirizzi IP privati degli VPC endpoint arsenal-discovery Amazon verso. VPC

  • Utilizza la DNS funzionalità arsenal-discovery Amazon VPC endpoint private perché Agentless Collector non supporta endpoint Arsenal configurabili.

  • Configura l'VPCendpoint arsenal-discovery Amazon in una sottorete privata con la stessa VPC verso cui stai instradando il traffico. AWS Direct Connect

  • Configura l'VPCendpoint arsenal-discovery Amazon con un gruppo di sicurezza che abiliti il traffico in entrata dall'interno di VPC (ad esempio, 10.0.0.0/8).

  • Configura un resolver in ingresso Amazon Route 53 per indirizzare la DNS risoluzione del DNS nome privato dell'VPCendpoint arsenal-discovery Amazon, che verrà risolto sull'IP privato dell'endpoint. VPC Se non lo fai, il raccoglitore eseguirà la DNS risoluzione utilizzando il resolver locale e utilizzerà l'endpoint pubblico Arsenal, senza che il traffico passerà attraverso. VPC

  • Se hai disabilitato tutto il traffico pubblico, la funzione di aggiornamento automatico non funzionerà. Questo perché Agentless Collector recupera gli aggiornamenti inviando richieste all'endpoint Amazon. ECR Per far funzionare la funzione di aggiornamento automatico senza inviare richieste sulla rete Internet pubblica, configura un VPC endpoint per il ECR servizio Amazon e abilita la DNS funzionalità privata per questo endpoint.