As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
AWS Cloud Control API e VPC endpoints de interface ()AWS PrivateLink
Você pode estabelecer uma conexão privada entre sua nuvem privada virtual (VPC) e AWS Cloud Control API criar um VPCendpoint de interface. Os endpoints de interface são alimentados por AWS PrivateLink
Cada endpoint de interface é representado por uma ou mais Interfaces de Rede Elástica nas sub-redes.
Para obter mais informações, consulte Interface VPC endpoints (AWS PrivateLink) no Guia do VPC usuário da Amazon.
Considerações sobre endpoints do Cloud Control API VPC
Antes de configurar um VPC endpoint de interface para o Cloud ControlAPI, certifique-se de revisar as propriedades e limitações do endpoint da interface no Guia VPC do usuário da Amazon.
O Cloud Control API oferece suporte para fazer chamadas para todas as suas API ações a partir do seuVPC.
Criação de um VPC endpoint de interface para o Cloud Control API
Você pode criar um VPC endpoint para o API serviço Cloud Control usando o VPC console da Amazon ou o AWS Command Line Interface (AWS CLI). Para obter mais informações, consulte Criação de um endpoint de interface no Guia do VPC usuário da Amazon.
Crie um VPC endpoint para o Cloud Control API usando o seguinte nome de serviço:
-
com.amazonaws.
region.API de controle de nuvem
Se você ativar o modo privado DNS para o endpoint, poderá fazer API solicitações ao Cloud Control API usando o DNS nome padrão para a região, por exemplo,cloudcontrolapi.us-east-1.amazonaws.com.
Para obter mais informações, consulte Acessando um serviço por meio de um endpoint de interface no Guia do VPC usuário da Amazon.
Criação de uma política VPC de endpoint para o Cloud Control API
Você pode anexar uma política de endpoint ao seu VPC endpoint que controla o acesso ao Cloud Control. API Essa política especifica as seguintes informações:
-
A entidade principal que pode executar ações.
-
As ações que podem ser executadas.
-
Os recursos sobre os quais as ações podem ser realizadas.
Para obter mais informações, consulte Controle do acesso a serviços com VPC endpoints no Guia do VPC usuário da Amazon.
Importante
VPCEos detalhes da política de endpoint não são passados para nenhum serviço downstream invocado pelo Cloud Control API para avaliação. Por esse motivo, as políticas que especificam ações ou recursos que pertencem aos serviços downstream não são aplicadas.
Por exemplo, suponha que você tenha criado uma EC2 instância da Amazon em uma VPC instância com um VPC endpoint para o Cloud Control API em uma sub-rede sem acesso à Internet. Em seguida, você anexa a seguinte política de VPC endpoint aoVPCE:
{ "Statement": [ { "Action": [ "cloudformation:*", "ec2:*", "lambda:*" ] "Effect": "Allow", "Principal": "*", "Resource": "*" } ] }
Se um usuário com acesso de administrador enviar uma solicitação para acessar um bucket do Amazon S3 na instância, nenhum erro de serviço será retornado, mesmo que o acesso ao Amazon S3 não esteja concedido na política. VPCE
Exemplo: política de VPC endpoint para ações do Cloud Control API
Veja a seguir um exemplo de uma política de endpoint para o Cloud ControlAPI. Quando anexada a um endpoint, essa política concede acesso às API ações listadas do Cloud Control para todos os diretores em todos os recursos. O exemplo a seguir nega a todos os usuários a permissão de criar recursos por meio do VPC endpoint e permite acesso total a todas as outras ações no serviço Cloud ControlAPI.
{ "Statement": [ { "Action": "cloudformation:*", "Effect": "Allow", "Principal": "*", "Resource": "*" }, { "Action": "cloudformation:CreateResource", "Effect": "Deny", "Principal": "*", "Resource": "*" } ] }
Consulte também
