Configurar um serviço de endpoint - Amazon Virtual Private Cloud

Configurar um serviço de endpoint

Depois de criar um serviço de endpoint, você pode atualizar a configuração.

Gerenciar permissões

A combinação de permissões e configurações de aceitação ajuda a controlar quais clientes do serviço (entidades principais da AWS) podem acessar o serviço de endpoint. Por exemplo, é possível conceder permissões a entidades principais específicas em que você confia e aceitar automaticamente todas as solicitações de conexão ou conceder permissões a um grupo maior de entidades principais e aceitar manualmente as solicitações de conexão específicas em que você confia.

Por padrão, o serviço de endpoint não está disponível aos consumidores do serviço. É necessário adicionar permissões para que entidades principais da AWS específicas possam criar um endpoint da VPC de interface para se conectar ao serviço de endpoint. Para adicionar permissões para uma entidade principal da AWS, você precisa do nome do recurso da Amazon (ARN). A lista a seguir inclui os ARNs de exemplo das entidades principais da AWS aceitas.

ARNs para as entidades principais da AWS
Conta da AWS (inclui todas as entidades principais na conta)

arn:aws:iam::account_id:root

Função

arn:aws:iam::account_id:role/role_name

Usuário

arn:aws:iam::account_id:user/user_name

Todas as entidades principais em todas as Contas da AWS

*

Considerações
  • Se você conceder permissão a todos para acessar o serviço de endpoint e configurar o serviço de endpoint para aceitar todas as solicitações, seu balanceador de carga será público, mesmo que não tenha um endereço IP público.

  • Se você remover as permissões, isso não afetará as conexões existentes entre o endpoint e o serviço que foram aceitas anteriormente.

Para gerenciar as permissões para o serviço de endpoint usando o console
  1. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.

  2. No painel de navegação, escolha Endpoint Services (Serviços do endpoint).

  3. Selecione o serviço de endpoint e escolha a guia Allow principals (Permitir entidades principals).

  4. Para adicionar permissões, escolha Allow principals (Permitir entidades principals). Em Principals to add, (Entidades principais a serem adicionadas), insira o ARN da entidade principal. Para adicionar outra entidade principal, escolha Add principal (Adicionar principal). Quando terminar de adicionar as entidades principais, escolha Allow principals (Permitir entidades principals).

  5. Para remover permissões, selecione a entidade principal e escolha Actions (Ações), Delete (Excluir). Quando a confirmação for solicitada, insira delete e escolha Excluir.

Para adicionar permissões para o serviço de endpoint usando a linha de comando

Aceitar ou rejeitar solicitações de conexão

A combinação de permissões e configurações de aceitação ajuda a controlar quais clientes do serviço (entidades principais da AWS) podem acessar o serviço de endpoint. Por exemplo, é possível conceder permissões a entidades principais específicas em que você confia e aceitar automaticamente todas as solicitações de conexão ou conceder permissões a um grupo maior de entidades principais e aceitar manualmente as solicitações de conexão específicas em que você confia.

É possível configurar o serviço de endpoint para aceitar solicitações de conexão automaticamente. Senão, será necessário aceitá-los ou rejeitá-los manualmente. Se você não aceitar uma solicitação de conexão, o consumidor do serviço não poderá acessar o serviço de endpoint.

Se você conceder permissão a todos para acessar o serviço de endpoint e configurar o serviço de endpoint para aceitar todas as solicitações, seu balanceador de carga será público, mesmo que não tenha um endereço IP público.

É possível receber uma notificação quando uma solicitação de conexão é aceita ou rejeitada. Para ter mais informações, consulte Receber alertas para eventos de serviço de endpoint.

Para modificar a configuração de aceitação usando o console
  1. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.

  2. No painel de navegação, escolha Endpoint Services (Serviços do endpoint).

  3. Selecione o serviço de endpoint.

  4. Escolha Actions, Modify endpoint acceptance setting.

  5. Selecionar ou desmarcar Acceptance required (Aceitação obrigatória).

  6. Selecione Save changes (Salvar alterações)

Para modificar a configuração de aceitação usando a linha de comando
Para aceitar ou rejeitar uma solicitação de conexão usando o console
  1. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.

  2. No painel de navegação, escolha Endpoint Services (Serviços do endpoint).

  3. Selecione o serviço de endpoint.

  4. Na guia Endpoint connections (Conexões de endpoint), selecione a conexão de endpoint.

  5. Para aceitar a solicitação de conexão, escolha Actions (Ações), Accept endpoint connection request (Aceitar solicitação de conexão de endpoint). Quando a confirmação for solicitada, insira accept e escolha Accept (Aceitar).

  6. Para rejeitar a solicitação de conexão, escolha Actions (Ações),Reject endpoint connection request (Rejeitar solicitação de conexão de endpoint). Quando a confirmação for solicitada, insira reject e escolha Reject (Rejeitar).

Para aceitar ou rejeitar uma solicitação de conexão usando a linha de comando

Manage load balancers (Gerenciar balanceadores de carga)

É possível gerenciar os balanceadores de carga associados ao serviço de endpoint. Não será possível dissociar um balanceador de carga se houver endpoints conectados ao serviço de endpoint.

Se você habilitar outra zona de disponibilidade para um Network Load Balancer, também poderá habilitar a zona de disponibilidade para seu serviço de endpoint. Depois de habilitar uma zona de disponibilidade para o serviço de endpoint, os consumidores do serviço podem adicionar uma sub-rede nessa zona de disponibilidade aos endpoint de VPC da interface.

Para gerenciar os balanceadores de carga para o serviço de endpoint usando o console
  1. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.

  2. No painel de navegação, escolha Endpoint Services (Serviços do endpoint).

  3. Selecione o serviço de endpoint.

  4. Escolha Actions (Ações), Associate or disassociate load balancers (Associar ou desassociar balanceadores de carga).

  5. Alterar a configuração do serviço do endpoint conforme necessário. Por exemplo:

    • Marque a caixa de seleção para um balanceador de carga e associe-o ao serviço de endpoint.

    • Limpe a caixa de seleção de um balanceador de carga para desassociá-lo do serviço de endpoint. Você deve manter pelo menos um balanceador de carga selecionado.

    • Se você habilitou recentemente outra zona de disponibilidade para seu balanceador de carga, ela aparece em Zonas de disponibilidade incluídas. Se você salvar as alterações na próxima etapa, isso ativará o serviço de endpoint para a nova zona de disponibilidade.

  6. Selecione Save changes (Salvar alterações)

Para gerenciar os balanceadores de carga para o serviço de endpoint usando a linha de comando

Para habilitar o serviço de endpoint em uma zona de disponibilidade que foi habilitada recentemente para o balanceador de carga, basta chamar o comando com o ID do serviço de endpoint.

Associar um nome DNS privado

É possível associar um nome DNS privado ao serviço de endpoint. Após associar um nome de DNS privado, você deverá atualizar a entrada para o domínio no servidor de DNS. Antes que os consumidores do serviço possam usar o nome DNS, o provedor de serviços deve verificar se eles são proprietários do domínio. Para ter mais informações, consulte Gerenciar nomes DNS.

Para modificar um nome de DNS privado do serviço de endpoint usando o console
  1. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.

  2. No painel de navegação, escolha Endpoint Services (Serviços do endpoint).

  3. Selecione o serviço de endpoint.

  4. Escolha Actions (Ações), Modify private DNS name (Modificar nome DNS privado).

  5. Selecione Associate a private DNS name with the service (Associar um nome DNS privado ao serviço) e insira o nome DNS privado.

    • Os nomes de domínio devem usar letras minúsculas.

    • Você pode usar curingas em nomes de domínio (por exemplo, *.myexampleservice.com).

  6. Escolha Salvar alterações.

  7. O nome DNS privado está pronto para ser usado pelos consumidores do serviço quando o status de verificação é verified (verificado). Se o status da verificação for alterado, as novas solicitações de conexão serão negadas, mas as conexões existentes não serão afetadas.

Para modificar um nome de DNS privado do serviço de endpoint usando a linha de comando
Para iniciar o processo de verificação de domínio usando o console
  1. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.

  2. No painel de navegação, escolha Endpoint Services (Serviços do endpoint).

  3. Selecione o serviço de endpoint.

  4. Escolha Actions (Ações), Verify domain ownership for private DNS name (Verificar a propriedade do domínio para o nome DNS privado).

  5. Quando a confirmação for solicitada, insira verify e escolha Verify (Verificar).

Para iniciar o processo de verificação de domínio usando a linha de comando

Modificar os tipos de endereço IP compatíveis

Você pode alterar os tipos de endereço IP que são compatíveis com seu serviço de endpoint.

Consideração

Para permitir que o serviço de endpoint aceite solicitações IPv6, os Network Load Balancers devem usar o tipo de endereço IP dualstack. Os destinos não precisam ser compatíveis com tráfego IPv6. Para mais informações, consulte IP address type (Tipo de endereço IP) no Manual do usuário de Network Load Balancers.

Para modificar os tipos de endereço IP compatíveis usando o console
  1. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.

  2. No painel de navegação, escolha Endpoint Services (Serviços do endpoint).

  3. Selecione o serviço de endpoint da VPC.

  4. Escolha Actions (Ações), Modify supported IP address types (Modificar os tipos de endereço IP compatíveis).

  5. Em Supported IP address types (Tipos de endereço IP compatíveis), siga um destes procedimentos:

    • Selecionar IPv4: habilite o serviço de endpoint para aceitar solicitações IPv4.

    • Selecionar IPv6: habilite o serviço de endpoint para aceitar solicitações IPv6.

    • Selecionar IPv4 e IPv6: habilite o serviço de endpoint para aceitar solicitações IPv4 e IPv6.

  6. Escolha Salvar alterações.

Para modificar os tipos de endereço IP compatíveis usando a linha de comando

Gerenciar tags

Você pode marcar os recursos para ajudar a identificá-los ou categorizá-los de acordo com as necessidades da organização.

Para gerenciar as tags para o serviço de endpoint usando o console
  1. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.

  2. No painel de navegação, escolha Endpoint Services (Serviços do endpoint).

  3. Selecione o serviço de endpoint da VPC.

  4. Escolha Actions (Ações), Manage tags (Gerenciar tags).

  5. Para cada etiqueta a ser adicionada, escolha Add new tag (Adicionar nova etiqueta) e insira a chave da etiqueta e o valor da etiqueta.

  6. Para remover uma etiqueta, escolha Remove (Remover) à direita da chave e do valor da etiqueta.

  7. Escolha Salvar.

Para gerenciar as tags para as conexões de endpoint usando o console
  1. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.

  2. No painel de navegação, escolha Endpoint Services (Serviços do endpoint).

  3. Selecione o serviço de endpoint da VPC e, em seguida, escolha a guia Endpoint connections (Conexões d endpoint).

  4. Selecione a conexão de endpoint e depois escolha Actions (Ações), Manage tags (Gerenciar tags).

  5. Para cada etiqueta a ser adicionada, escolha Add new tag (Adicionar nova etiqueta) e insira a chave da etiqueta e o valor da etiqueta.

  6. Para remover uma etiqueta, escolha Remove (Remover) à direita da chave e do valor da etiqueta.

  7. Escolha Salvar.

Para gerenciar as tags para as permissões do serviço de endpoint usando o console
  1. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.

  2. No painel de navegação, escolha Endpoint Services (Serviços do endpoint).

  3. Selecione o serviço de endpoint da VPC e depois escolha a guia Allow principals (Permitir entidades principals).

  4. Selecione a entidade principal e depois escolha Actions (Ações), Manage tags (Gerenciar tags).

  5. Para cada etiqueta a ser adicionada, escolha Add new tag (Adicionar nova etiqueta) e insira a chave da etiqueta e o valor da etiqueta.

  6. Para remover uma etiqueta, escolha Remove (Remover) à direita da chave e do valor da etiqueta.

  7. Escolha Salvar.

Para adicionar e remover etiquetas usando a linha de comando