As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Usando AWS CloudTrail com interface VPC endpoints
Se você usa a Amazon Virtual Private Cloud (Amazon VPC) para hospedar seus AWS recursos, você pode estabelecer uma conexão privada entre sua VPC e. AWS CloudTrail Você pode usar essa conexão para habilitar o CloudTrail a se comunicar com os seus recursos na VPC sem passar pela Internet pública.
O Amazon VPC é um AWS serviço que você pode usar para lançar AWS recursos em uma rede virtual que você define. Com a VPC, você tem controle sobre as configurações de rede, como o intervalo de endereços IP, sub-redes, tabelas de rotas e gateways de rede. Com os VPC endpoints, o roteamento entre a VPC e os AWS serviços é gerenciado pela AWS rede, e você pode usar políticas do IAM para controlar o acesso aos recursos do serviço.
Para conectar sua VPC a CloudTrail, você define uma interface para a qual *VPC endpoint*. CloudTrail Um endpoint de interface é uma interface de rede elástica com um endereço IP privado que serve como ponto de entrada para o tráfego destinado a um serviço compatível AWS . O endpoint fornece conectividade confiável e escalável CloudTrail sem a necessidade de um gateway de internet, instância de tradução de endereços de rede (NAT) ou conexão VPN. Para obter mais informações, consulte [O que é a Amazon VPC?](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html) no *Manual do usuário da Amazon VPC*.
Os endpoints VPC da Interface são alimentados por AWS PrivateLink uma AWS tecnologia que permite a comunicação privada entre AWS serviços usando uma interface de rede elástica com endereços IP privados. Para obter mais informações, consulte [AWS PrivateLink](https://aws.amazon.com/privatelink/).
As seções a seguir são para usuários da Amazon VPC. Para obter mais informações, consulte [Conceitos básicos da Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-getting-started.html) no *Manual do usuário da Amazon VPC*.
**Topics**
+ [Regiões](#cloudtrail-interface-VPC-availability)
+ [Crie um VPC endpoint para CloudTrail](#create-VPC-endpoint-for-CloudTrail)
+ [Crie uma política de VPC endpoint para CloudTrail](#create-VPC-endpoint-policy)
+ [Sub-redes compartilhadas](#shared-subnet-cloudtrail)
## Regiões
AWS CloudTrail oferece suporte a endpoints de VPC e políticas de endpoints de VPC em tudo o que é compatível. Regiões da AWS CloudTrail
## Crie um VPC endpoint para CloudTrail
Para começar a usar CloudTrail com sua VPC, crie uma interface VPC endpoint para. CloudTrail Para obter mais informações, consulte [Acessar e AWS service (Serviço da AWS) usar uma interface VPC endpoint](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#create-interface-endpoint.html) no Guia do usuário da Amazon *VPC*.
Você não precisa alterar as configurações do CloudTrail. CloudTrail chama outros Serviços da AWS usando endpoints públicos ou endpoints VPC de interface privada, os que estiverem em uso.
## Crie uma política de VPC endpoint para CloudTrail
Uma política de endpoint da VPC é um recurso do IAM que você pode anexar ao endpoint da VCP de interface. A política de endpoint padrão fornece acesso total CloudTrail APIs por meio da interface VPC endpoint. Para controlar o acesso concedido CloudTrail pela sua VPC, anexe uma política de endpoint personalizada à interface VPC endpoint.
Uma política de endpoint especifica as seguintes informações:
+ As entidades principais que podem realizar ações (Contas da AWS, usuários do IAM e perfis do IAM).
+ As ações que podem ser realizadas.
+ Os recursos aos quais as ações podem ser aplicadas.
Para obter mais informações sobre políticas de endpoint da VPC, consulte [Controlar o acesso aos serviços com endpoints da VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html) no *Guia do usuário da Amazon VPC*.
Veja a seguir exemplos de políticas personalizadas de VPC endpoint para. CloudTrail
**Topics**
+ [Exemplo: Permitir todas as CloudTrail ações](#create-VPC-endpoint-policy-example1)
+ [Exemplo: permitir CloudTrail ações específicas](#create-VPC-endpoint-policy-example2)
+ [Exemplo: negar todas as CloudTrail ações](#create-VPC-endpoint-policy-example3)
+ [Exemplo: negar CloudTrail ações específicas](#create-VPC-endpoint-policy-example4)
+ [Exemplo: permitir todas as CloudTrail ações de uma VPC específica](#create-VPC-endpoint-policy-example5)
+ [Exemplo: permitir todas as CloudTrail ações de um VPC endpoint específico](#create-VPC-endpoint-policy-example6)
### Exemplo: Permitir todas as CloudTrail ações
O exemplo a seguir da política de VPC endpoint concede acesso a todas as CloudTrail ações para todos os diretores em todos os recursos.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": "cloudtrail:*",
"Effect": "Allow",
"Resource": "*",
"Principal": "*"
}
]
}
```
------
### Exemplo: permitir CloudTrail ações específicas
O exemplo de política de endpoint da VPC a seguir concede a todas as entidades principais acesso para executar as ações `cloudtrail:ListTrails` e `cloudtrail:ListEventDataStores` em todos os recursos.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": ["cloudtrail:ListTrails", "cloudtrail:ListEventDataStores"],
"Effect": "Allow",
"Principal": "*",
"Resource": "*"
}
]
}
```
------
### Exemplo: negar todas as CloudTrail ações
O exemplo a seguir da política de VPC endpoint nega acesso a todas as CloudTrail ações para todos os diretores em todos os recursos.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": "cloudtrail:*",
"Effect": "Deny",
"Principal": "*",
"Resource": "*"
}
]
}
```
------
### Exemplo: negar CloudTrail ações específicas
O exemplo de política de endpoint da VPC a seguir nega as todas as entidades principais acesso para executar as ações `cloudtrail:CreateTrail` e `cloudtrail:CreateEventDataStore` em todos os recursos.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": ["cloudtrail:CreateTrail", "cloudtrail:CreateEventDataStore"],
"Effect": "Deny",
"Principal": "*",
"Resource": "*"
}
]
}
```
------
### Exemplo: permitir todas as CloudTrail ações de uma VPC específica
O exemplo a seguir da política de VPC endpoint concede acesso para realizar todas as CloudTrail ações para todos os diretores em todos os recursos, mas somente se o solicitante usar a VPC especificada para fazer a solicitação. *vpc-id*Substitua pelo seu ID de VPC.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "cloudtrail:*",
"Resource": "*",
"Principal": "*",
"Condition": {
"StringEquals": {
"aws:SourceVpc": "vpc-1234567890abcdef0"
}
}
}
]
}
```
------
### Exemplo: permitir todas as CloudTrail ações de um VPC endpoint específico
O exemplo a seguir da política de VPC endpoint concede acesso para realizar todas as CloudTrail ações para todos os diretores em todos os recursos, mas somente se o solicitante usar o VPC endpoint especificado para fazer a solicitação. *vpc-endpoint-id*Substitua pelo ID do seu VPC endpoint.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "cloudtrail:*",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceVpce": "vpce-1a2b3c4d"
}
}
}
]
}
```
------
## Sub-redes compartilhadas
Um CloudTrail VPC endpoint, como qualquer outro VPC endpoint, só pode ser criado por uma conta de proprietário na sub-rede compartilhada. No entanto, uma conta de participante pode usar CloudTrail VPC endpoints em sub-redes que são compartilhadas com a conta do participante. Para obter informações sobre o compartilhamento da Amazon VPC, consulte [Compartilhar sua VPC com outras contas](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-sharing.html) no *Guia do usuário do Amazon VPC*.