Impostazione di un endpoint VPC per Elastic Beanstalk Impostazione di un endpoint VPC per l'integrità avanzata Utilizzo di endpoint VPC in un VPC privato Utilizzo dei criteri endpoint per controllare l'accesso con gli endpoint VPC

Utilizzo di Elastic Beanstalk con endpoint VPC

Un VPC endpoint (Endpoint VPC) consente di connettere privatamente il VPC a servizi AWS supportati e servizi endpoint VPC con tecnologia AWS PrivateLink senza richiedere un Internet gateway, un dispositivo NAT, una connessione VPN o una connessione AWS Direct Connect.

Le istanze nel VPC non richiedono indirizzi IP pubblici per comunicare con risorse nel servizio. Il traffico tra il VPC e gli altri servizi non lascia la rete Amazon. Per informazioni complete sugli endpoint VPC, consulta Endpoint VPC nella Guida per l'utente di Amazon VPC.

AWS Elastic Beanstalk supporta AWS PrivateLink, che fornisce connettività privata al servizio Elastic Beanstalk ed elimina l'esposizione del traffico alla rete Internet pubblica. Per abilitare l'applicazione a inviare richieste a Elastic Beanstalk utilizzando AWS PrivateLink, configura un tipo di endpoint VPC noto come endpoint VPC di interfaccia (endpoint di interfaccia). Per ulteriori informazioni, consulta Endpoint VPC di interfaccia (AWS PrivateLink) nella Guida per l'utente di Amazon VPC.

Nota

Elastic Beanstalk supporta AWS PrivateLink e gli endpoint VPC di interfaccia in un numero limitato di Regioni AWS. Stiamo lavorando per estendere il supporto a ulteriori regioni AWS nel prossimo futuro.

Impostazione di un endpoint VPC per Elastic Beanstalk

Per creare l'endpoint VPC di interfaccia per il servizio Elastic Beanstalk nel VPC, segui la procedura Creazione di un endpoint di interfaccia. Per Service Name (Nome servizio), scegliere com.amazonaws.region.elasticbeanstalk.

Se il VPC è configurato con accesso a Internet pubblico, l'applicazione può comunque accedere ad Elastic Beanstalk tramite Internet utilizzando l'endpoint pubblico elasticbeanstalk.region.amazonaws.com. È possibile evitare questo problema assicurando che Enable DNS name (Abilita nome DNS) sia abilitato durante la creazione dell'endpoint (true per impostazione predefinita). In questo modo viene aggiunta una voce DNS nel VPC che associa l'endpoint del servizio pubblico all'endpoint VPC dell'interfaccia.

Impostazione di un endpoint VPC per l'integrità avanzata

Se è stata abilitata la creazione di report di integrità avanzata per l'ambiente, è possibile configurare anche le informazioni di integrità avanzata da inviare tramite AWS PrivateLink. Le informazioni di stato avanzate vengono inviate dal daemon healthd, un componente Elastic Beanstalk delle istanze dell'ambiente, a un servizio di stato avanzato Elastic Beanstalk separato. Per creare un endpoint VPC di interfaccia per questo servizio nel VPC, segui la procedura Creazione di un endpoint di interfaccia. Per Service Name (Nome servizio), scegliere com.amazonaws.region.elasticbeanstalk-health.

Importante

Il daemon healthd invia informazioni di integrità avanzata all'endpoint pubblico elasticbeanstalk-health.region.amazonaws.com. Se il VPC è configurato con accesso a Internet pubblico e Enable DNS name (Abilita nome DNS) è disabilitato per l'endpoint VPC, le informazioni di integrità avanzate viaggiano attraverso Internet pubblico. Questa probabilmente non è la tua intenzione quando configuri un endpoint VPC con integrità avanzata. Assicurarsi che Enable DNS name (Attiva nome DNS) sia abilitato (true per impostazione predefinita).

Utilizzo di endpoint VPC in un VPC privato

Un VPC privato, o una sottorete privata in un VPC, non ha accesso a Internet pubblico. Potrebbe essere necessario eseguire l'ambiente Elastic Beanstalk in un VPC privato e configurare gli endpoint VPC di interfaccia per la sicurezza avanzata. In questo caso, tieni presente che l'ambiente in uso potrebbe tentare di connettersi a Internet per altri motivi che non siano contattare il servizio Elastic Beanstalk. Per ulteriori informazioni sull'esecuzione di un ambiente in un VPC privato, consulta Esecuzione di un ambiente Elastic Beanstalk in un VPC privato.

Utilizzo dei criteri endpoint per controllare l'accesso con gli endpoint VPC

Per impostazione predefinita, un endpoint VPC consente l'accesso completo al servizio a cui è associato. Quando si crea o modifica un endpoint, è possibile allegarvi una policy endpoint.

Una policy endpoint è una policy di risorse AWS Identity and Access Management (IAM) che controlla l'accesso dall'endpoint al servizio specificato. La policy endpoint è specifica per l'endpoint. Inoltre, è separata da tutte le policy IAM dell'utente o dell'istanza disponibili per l'ambiente e non le sovrascrive né le sostituisce. Per informazioni dettagliate sulla creazione e l'utilizzo delle policy degli endpoint VPC, consulta Controllo dell'accesso ai servizi con endpoint VPC nella Guida per l'utente di Amazon VPC.

L'esempio seguente nega a tutti gli utenti l'autorizzazione per terminare un ambiente tramite l'endpoint VPC e consente l'accesso completo a tutte le altre azioni.


{
    "Statement": [
        {
            "Action": "*",
            "Effect": "Allow",
            "Resource": "*",
            "Principal": "*"
        },
        {
            "Action": "elasticbeanstalk:TerminateEnvironment",
            "Effect": "Deny",
            "Resource": "*",
            "Principal": "*"
        }
    ]
}

Nota

Al momento, solo il servizio Elastic Beanstalk principale supporta il collegamento di una policy dell'endpoint al relativo endpoint VPC. Il servizio di integrità avanzato non supporta le policy degli endpoint.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Amazon RDS

Configurazione del computer di sviluppo