本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
您可以在 VPC 中的資源與 Amazon EC2 API 之間建立私有連線,以改善 VPC 的安全狀態。您可以像在 VPC 中一樣存取 Amazon EC2 API,無需使用網際網路閘道、NAT 裝置、VPN 連線或 AWS Direct Connect 連線。VPC 中的 EC2 執行個體不需要公有 IP 地址即可存取 Amazon EC2 API。
如需詳細資訊,請參閱《 AWS PrivateLink 指南》中的AWS 服務 透過 存取 AWS PrivateLink 。
建立介面 VPC 端點
使用以下服務名稱為 Amazon EC2 建立介面端點:
-
com.amazonaws.
region.ec2 – 為 Amazon EC2 API 動作建立端點。
如需詳細資訊,請參閱《 AWS PrivateLink 指南》中的AWS 服務 使用介面 VPC 端點存取 。
建立端點政策
端點政策為 IAM 資源,您可將其連接至您的介面端點。預設端點政策可允許透過介面端點完整存取 Amazon EC2 API。若要控制 VPC 對 Amazon EC2 API 的存取權限,請將自訂端點政策連接至介面端點。
端點政策會指定以下資訊:
-
可執行動作的主體。
-
可執行的動作。
-
可供執行動作的資源。
重要
當非預設政策套用至 Amazon EC2 的介面 VPC 端點時,某些失敗的 API 請求,例如從 失敗的請求RequestLimitExceeded,可能不會記錄到 AWS CloudTrail 或 Amazon CloudWatch。
如需詳細資訊,請參閱「AWS PrivateLink 指南」中的使用端點政策控制對服務的存取。
下列範例顯示 VPC 端點政策,該政策拒絕建立未加密磁碟區或啟動具有未加密磁碟區之執行個體的許可。範例政策也會授與執行所有其他 Amazon EC2 動作的許可。
{
"Version": "2012-10-17",
"Statement": [
{
"Action": "ec2:*",
"Effect": "Allow",
"Resource": "*",
"Principal": "*"
},
{
"Action": [
"ec2:CreateVolume"
],
"Effect": "Deny",
"Resource": "*",
"Principal": "*",
"Condition": {
"Bool": {
"ec2:Encrypted": "false"
}
}
},
{
"Action": [
"ec2:RunInstances"
],
"Effect": "Deny",
"Resource": "*",
"Principal": "*",
"Condition": {
"Bool": {
"ec2:Encrypted": "false"
}
}
}]
}