Catálogo AWS de controle de acesso usando um endpoint de interface ()AWS PrivateLink - AWSCatálogo de controle
ConsideraçõesComo criar um endpoint de interfaceCrie uma política de endpoint

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Catálogo AWS de controle de acesso usando um endpoint de interface ()AWS PrivateLink

Você pode usar AWS PrivateLink para criar uma conexão privada entre você VPC e o AWS Control Catalog. Você pode acessar o Catálogo de AWS Controle como se estivesse no seuVPC, sem o uso de um gateway de internet, NAT dispositivo, VPN conexão ou AWS Direct Connect conexão. As instâncias em seu VPC não precisam de endereços IP públicos para acessar o Catálogo AWS de Controle.

Você estabelece essa conectividade privada criando um endpoint de interface, desenvolvido pelo AWS PrivateLink. Criaremos um endpoint de interface de rede em cada sub-rede que você habilitar para o endpoint de interface. Essas são interfaces de rede gerenciadas pelo solicitante que servem como ponto de entrada para o tráfego destinado ao Control Catalog. AWS

Para obter mais informações, consulte Acesso Serviços da AWS por meio AWS PrivateLink do AWS PrivateLink Guia.

Considerações sobre o AWS Control Catalog

Antes de configurar um endpoint de interface para o AWS Control Catalog, revise Considerações no AWS PrivateLink Guia.

AWS O Control Catalog suporta a realização de chamadas para todas as suas API ações por meio do endpoint da interface.

Crie um endpoint de interface para o AWS Control Catalog

Você pode criar um endpoint de interface para o AWS Control Catalog usando o VPC console da Amazon ou o AWS Command Line Interface (AWS CLI). Para obter mais informações, consulte Criar um endpoint de interface no Guia do usuário do AWS PrivateLink .

Crie um endpoint de interface para o AWS Control Catalog usando o seguinte nome de serviço:

com.amazonaws.region.controlcatalog

Se você habilitar privado DNS para o endpoint da interface, poderá fazer API solicitações ao AWS Control Catalog usando seu DNS nome regional padrão. Por exemplo, service-name.us-east-1.amazonaws.com.

Crie uma política de endpoint para seu endpoint de interface.

Uma política de endpoint é um IAM recurso que você pode anexar a um endpoint de interface. A política de endpoint padrão permite acesso total ao AWS Control Catalog por meio do endpoint da interface. Para controlar o acesso permitido ao Catálogo de AWS Controle a partir do seuVPC, anexe uma política de endpoint personalizada ao endpoint da interface.

Uma política de endpoint especifica as seguintes informações:

  • Os diretores que podem realizar ações (Contas da AWS, IAM usuários e IAM funções).

  • As ações que podem ser executadas.

  • Os recursos nos quais as ações podem ser executadas.

Para obter mais informações, consulte Controlar o Acesso a Serviços Usando Políticas de Endpoint no AWS PrivateLink Guia.

Exemplo: política de VPC endpoint para ações do AWS Control Catalog

O exemplo a seguir refere-se a uma política de endpoint personalizada. Quando você anexa essa política ao seu endpoint de interface, ela concede acesso às ações listadas do Catálogo AWS de Controle para todos os diretores em todos os recursos.

{
   "Statement": [
      {
         "Principal": "*",
         "Effect": "Allow",
         "Action": [
            "controlcatalog:ListDomains",
            "controlcatalog:ListObjectives",
            "controlcatalog:ListCommonControls"
         ],
         "Resource":"*"
      }
   ]
}
nota

As ListControls API operações GetControl e exigem uma permissão diferente, a permissão total padrão. Para ver um exemplo, consulte a política de endpoint padrão. Não há suporte para outras AWS Control Tower API operações AWS PrivateLink.