Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
AWS Cloud Control API e endpoint VPC di interfaccia ()AWS PrivateLink
È possibile stabilire una connessione privata tra il cloud privato virtuale (VPC) e creare un AWS Cloud Control API endpoint VPC di interfaccia. Gli endpoint di interfaccia sono alimentati da AWS PrivateLink
Ogni endpoint dell'interfaccia è rappresentato da una o più interfacce di rete elastiche nelle sottoreti.
Per ulteriori informazioni, consultare Endpoint VPC di interfaccia (AWS PrivateLink) nella Guida per l'utente di Amazon VPC.
Considerazioni sugli endpoint VPC dell'API Cloud Control
Prima di configurare un endpoint VPC di interfaccia per l'API Cloud Control, assicurati di esaminare le proprietà e le limitazioni degli endpoint dell'interfaccia nella Amazon VPC User Guide.
L'API Cloud Control supporta l'esecuzione di chiamate a tutte le sue azioni API dal tuo VPC.
Creazione di un endpoint VPC di interfaccia per l'API Cloud Control
Puoi creare un endpoint VPC per il servizio API Cloud Control utilizzando la console Amazon VPC o il (). AWS Command Line Interface AWS CLI Per ulteriori informazioni, consulta Creazione di un endpoint dell'interfaccia nella Guida per l'utente di Amazon VPC.
Crea un endpoint VPC per l'API Cloud Control utilizzando il seguente nome di servizio:
-
com.amazonaws.
regione .cloudcontrolapi
Se abiliti il DNS privato per l'endpoint, puoi effettuare richieste API all'API Cloud Control utilizzando il nome DNS predefinito per la regione, ad esempio. cloudcontrolapi.us-east-1.amazonaws.com
Per ulteriori informazioni, consulta Accesso a un servizio tramite un endpoint dell'interfaccia in Guida per l'utente di Amazon VPC.
Creazione di una policy sugli endpoint VPC per l'API Cloud Control
Puoi allegare una policy per gli endpoint al tuo endpoint VPC che controlla l'accesso all'API Cloud Control. La policy specifica le informazioni riportate di seguito:
-
Il principale che può eseguire operazioni.
-
Le azioni che possono essere eseguite.
-
Le risorse sui cui si possono eseguire operazioni.
Per ulteriori informazioni, consulta Controllo degli accessi ai servizi con endpoint VPC in Guida per l'utente di Amazon VPC.
Importante
I dettagli della policy degli endpoint VPCE non vengono trasmessi a nessun servizio downstream richiamato dall'API Cloud Control per la valutazione. Per questo motivo, le politiche che specificano azioni o risorse che appartengono ai servizi a valle non vengono applicate.
Ad esempio, supponiamo di aver creato un'istanza Amazon EC2 in un'istanza VPC con un endpoint VPC per l'API Cloud Control in una sottorete senza accesso a Internet. Successivamente, si allega la seguente politica degli endpoint VPC al VPCE:
{ "Statement": [ { "Action": [ "cloudformation:*", "ec2:*", "lambda:*" ] "Effect": "Allow", "Principal": "*", "Resource": "*" } ] }
Se un utente con accesso da amministratore invia quindi una richiesta di accesso a un bucket Amazon S3 nell'istanza, non verrà restituito alcun errore di servizio, anche se l'accesso ad Amazon S3 non è concesso nella policy VPCE.
Esempio: policy degli endpoint VPC per le azioni dell'API Cloud Control
Di seguito è riportato un esempio di policy sugli endpoint per l'API Cloud Control. Se collegata a un endpoint, questa policy consente l'accesso alle azioni dell'API Cloud Control elencate per tutti i principali su tutte le risorse. L'esempio seguente nega a tutti gli utenti l'autorizzazione a creare risorse tramite l'endpoint VPC e consente l'accesso completo a tutte le altre azioni sul servizio API Cloud Control.
{ "Statement": [ { "Action": "cloudformation:*", "Effect": "Allow", "Principal": "*", "Resource": "*" }, { "Action": "cloudformation:CreateResource", "Effect": "Deny", "Principal": "*", "Resource": "*" } ] }
Consulta anche
