Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Cloud Control API e VPC endpoint di interfaccia ()AWS PrivateLink
Puoi stabilire una connessione privata tra il tuo cloud privato virtuale (VPC) e AWS Cloud Control API creando un VPCendpoint di interfaccia. Gli endpoint di interfaccia sono alimentati da AWS PrivateLink
Ogni endpoint dell'interfaccia è rappresentato da una o più interfacce di rete elastiche nelle tue sottoreti.
Per ulteriori informazioni, consulta Accedere a un AWS servizio utilizzando un VPC endpoint di interfaccia nella Amazon VPC User Guide.
Considerazioni sugli endpoint Cloud Control API VPC
Prima di configurare un VPC endpoint di interfaccia per Cloud ControlAPI, assicurati di leggere i prerequisiti nella Amazon VPC User Guide.
Cloud Control API supporta l'esecuzione di chiamate a tutte le sue API azioni dal tuo. VPC
Creazione di un VPC endpoint di interfaccia per Cloud Control API
Puoi creare un VPC endpoint per il API servizio Cloud Control utilizzando la VPC console Amazon o AWS Command Line Interface (AWS CLI). Per ulteriori informazioni, consulta Creare un VPC endpoint nella Amazon VPC User Guide.
Crea un VPC endpoint per Cloud Control API utilizzando il seguente nome di servizio:
-
com.amazonaws.
region.cloudcontrol api
Se abiliti private DNS per l'endpoint, puoi effettuare API richieste a Cloud Control API utilizzando il DNS nome predefinito per la regione, ad esempio. cloudcontrolapi.us-east-1.amazonaws.com
Per ulteriori informazioni, consulta Accedere a un AWS servizio utilizzando un VPC endpoint di interfaccia nella Amazon VPC User Guide.
Creazione di una policy VPC sugli endpoint per Cloud Control API
Puoi allegare una policy sugli endpoint al tuo VPC endpoint che controlli l'accesso a Cloud Control. API La policy specifica le informazioni riportate di seguito:
-
Il principale che può eseguire operazioni.
-
Le azioni che possono essere eseguite.
-
Le risorse sui cui si possono eseguire azioni.
Per ulteriori informazioni, consulta Controllare l'accesso ai servizi con VPC endpoint nella Amazon VPC User Guide.
Importante
VPCEi dettagli delle policy degli endpoint non vengono trasmessi a nessun servizio downstream richiamato da Cloud Control per la valutazione. API Per questo motivo, le politiche che specificano azioni o risorse che appartengono ai servizi downstream non vengono applicate.
Ad esempio, supponiamo di aver creato un'EC2istanza Amazon in un'VPCistanza con un VPC endpoint per Cloud Control API in una sottorete senza accesso a Internet. Successivamente, alleghi la seguente policy sugli VPC endpoint a: VPCE
{ "Statement": [ { "Action": [ "cloudformation:*", "ec2:*", "lambda:*" ] "Effect": "Allow", "Principal": "*", "Resource": "*" } ] }
Se un utente con accesso da amministratore invia quindi una richiesta di accesso a un bucket Amazon S3 nell'istanza, non verrà restituito alcun errore di servizio, anche se l'accesso ad Amazon S3 non è concesso nella politica. VPCE
Esempio: policy sugli VPC endpoint per le azioni di Cloud Control API
Di seguito è riportato un esempio di policy sugli endpoint per Cloud Control. API Se collegata a un endpoint, questa policy consente l'accesso alle API azioni di Cloud Control elencate per tutti i principali utenti su tutte le risorse. L'esempio seguente nega a tutti gli utenti l'autorizzazione a creare risorse tramite l'VPCendpoint e consente l'accesso completo a tutte le altre azioni sul servizio Cloud Control. API
{ "Statement": [ { "Action": "cloudformation:*", "Effect": "Allow", "Principal": "*", "Resource": "*" }, { "Action": "cloudformation:CreateResource", "Effect": "Deny", "Principal": "*", "Resource": "*" } ] }
Consulta anche
