Acessar o Amazon EC2 usando um endpoint da VPC de interface - Amazon Elastic Compute Cloud
Criar um VPC endpoint de interfaceCriar uma política de endpoint

Acessar o Amazon EC2 usando um endpoint da VPC de interface

Você pode melhorar a postura de segurança da sua VPC criando uma conexão privada entre os recursos da sua VPC e a API do Amazon EC2. É possível acessar a API do Amazon EC2 como se estivesse em sua VPC, sem usar um gateway da Internet, um dispositivo NAT, uma conexão VPN ou uma conexão AWS Direct Connect. As instâncias do EC2 na VPC não precisam de endereços IP públicos para acessar a API do Amazon EC2.

Para obter mais informações, consulte Acessar os Serviços da AWS pelo AWS PrivateLink no Guia do AWS PrivateLink.

Criar um VPC endpoint de interface

Crie um endpoint de interface para o Amazon EC2 usando o seguinte nome de serviço:

  • com.amazonaws.região.ec2: cria um endpoint para as ações da API do Amazon EC2.

Para obter mais informações, consulte Acessar um AWS service (Serviço da AWS) usando um endpoint de VPC de interface, no Guia do AWS PrivateLink.

Criar uma política de endpoint

Uma política de endpoint é um recurso do IAM que você pode anexar ao endpoint de interface. A política de endpoint padrão permite acesso total à API do Amazon EC2 por meio do endpoint de interface. Para controlar o acesso permitido à API do Amazon EC2 pela VPC, anexe uma política de endpoint personalizada ao endpoint de interface.

Uma política de endpoint especifica as seguintes informações:

  • As entidades principais que podem executar ações.

  • As ações que podem ser realizadas.

  • O recurso no qual as ações podem ser executadas.

Importante

Quando uma política não padrão é aplicada a um endpoint da VPC de interface para o Amazon EC2, determinadas solicitações de API com falha, como as com falha de RequestLimitExceeded, podem não ser registradas no AWS CloudTrail nem no Amazon CloudWatch.

Para obter mais informações, consulte Control access to services using endpoint policies (Controlar o acesso a serviços usando políticas de endpoint) no Guia do AWS PrivateLink.

O exemplo a seguir mostra uma política de VPC endpoint que nega permissão para criar volumes não criptografados ou executar instâncias com volumes não criptografados. O exemplo de política também concede permissão para executar todas as outras ações do Amazon EC2.

{
    "Version": "2012-10-17",
    "Statement": [
    {
        "Action": "ec2:*",
        "Effect": "Allow",
        "Resource": "*",
        "Principal": "*"
    },
    {
        "Action": [
            "ec2:CreateVolume"
        ],
        "Effect": "Deny",
        "Resource": "*",
        "Principal": "*",
        "Condition": {
            "Bool": {
                "ec2:Encrypted": "false"
            }
        }
    },
    {
        "Action": [
            "ec2:RunInstances"
        ],
        "Effect": "Deny",
        "Resource": "*",
        "Principal": "*",
        "Condition": {
            "Bool": {
                "ec2:Encrypted": "false"
            }
        }
    }]
}