Amazon FSx para NetApp ONTAP e endpoints da VPC de interface (AWS PrivateLink)
Você pode aprimorar a postura de segurança da VPC ao configurar o Amazon FSx para usar um endpoint da VPC de interface. Os endpoints da VPC de interface são desenvolvidos pelo AWS PrivateLink
Cada endpoint da VPC de interface é representado por uma ou mais interfaces de rede elástica em suas sub-redes. Uma interface de rede fornece um endereço IP privado que serve como um ponto de entrada para o tráfego para a API do Amazon FSx.
Considerações sobre endpoints da VPC de interface do Amazon FSx
Antes de configurar um endpoint da VPC de interface para o Amazon FSx, certifique-se de consultar Interface VPC endpoint properties and limitations no Guia do usuário da Amazon VPC.
É possível chamar qualquer uma das operações de API do Amazon FSx usando sua VPC. Por exemplo, você pode criar um sistema de arquivos do FSx para ONTAP chamando a API CreateFileSystem de dentro da VPC. Para obter a lista completa de APIs do Amazon FSx, consulte Actions na referência de APIs do Amazon FSx.
Considerações sobre emparelhamento de VPC
Você pode conectar outras VPCs à VPC com endpoints da VPC de interface usando o emparelhamento de VPC. O emparelhamento de VPC é uma conexão de rede entre duas VPCs. É possível estabelecer uma conexão de emparelhamento da VPC entre suas duas VPCs ou com uma VPC em outra Conta da AWS. As VPCs também podem estar em duas Regiões da AWS diferentes.
O tráfego entre VPCs emparelhadas permanece na rede da AWS e não passa pela Internet pública. Depois que as VPCs são emparelhadas, os recursos, como as instâncias do Amazon Elastic Compute Cloud (Amazon EC2) em ambas as VPCs, podem acessar a API do Amazon FSx por meio de endpoints da VPC de interface criados em uma das VPCs.
Como criar um endpoint da VPC de interface para a API do Amazon FSx
Você pode criar um endpoint da VPC para a API do Amazon FSx usando o console da Amazon VPC ou a AWS Command Line Interface (AWS CLI). Para obter mais informações, consulte Creating an interface VPC endpoint no Guia do usuário da Amazon VPC.
Para criar um endpoint da VPC de interface para o Amazon FSx, use um dos seguintes:
-
com.amazonaws.: cria um endpoint para as operações de API do Amazon FSx.region.fsx -
com.amazonaws.: cria um endpoint para a API do Amazon FSx que está em conformidade com o padrão Federal Information Processing Standard (FIPS) 140-2region.fsx-fips.
Para usar a opção de DNS privado, é necessário definir os recursos enableDnsHostnames e enableDnsSupport da sua VPC. Para obter mais informações, consulte Viewing and updating DNS support for your VPC no Guia do usuário da Amazon VPC.
Ao excluir as Regiões da AWS na China, se você habilitar o DNS privado para o endpoint, poderá realizar solicitações de API ao Amazon FSx com o endpoint da VPC usando o nome DNS padrão para a Região da AWS, por exemplo, fsx.us-east-1.amazonaws.com. Para as Regiões da AWS China (Pequim) e China (Ningxia), você pode realizar solicitações de API com o endpoint da VPC usando fsx-api---cn-north-1.amazonaws.com.rproxy.goskope.com.cn e fsx-api---cn-northwest-1.amazonaws.com.rproxy.goskope.com.cn, respectivamente.
Para obter mais informações, consulte Accessing a service through an interface VPC endpoint no Guia do usuário da Amazon VPC.
Como criar uma política de endpoint da VPC para o Amazon FSx
Para controlar o acesso à API do Amazon FSx, é possível anexar uma política do AWS Identity and Access Management (IAM) ao endpoint da VPC. A política especifica o seguinte:
-
A entidade principal que pode executar ações.
-
As ações que podem ser executadas.
-
Os recursos sobre os quais as ações podem ser realizadas.
Para obter mais informações, consulte Controlar o acesso a serviços com endpoints da VPC no Guia do Usuário do Amazon VPC.
