搭配 VPC 端點使用 Elastic Beanstalk - AWS Elastic Beanstalk
設定 Elastic Beanstalk 的 VPC 端點設定 VPC 端點以增強運作狀態在私有 VPC 中使用 VPC 端點使用端點政策搭配 VPC 端點來控制存取

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

搭配 VPC 端點使用 Elastic Beanstalk

VPC 端點可讓您將 VPC 私密地連線至支援的 AWS 服務以及具有 AWS PrivateLink 功能的 VPC 端點服務,而不需要網際網路閘道、NAT 裝置、VPN 連接或 AWS Direct Connect 連線。

VPC 中的執行個體不需要公有 IP 地址,即可與服務中的資源通訊。VPC 與另一個服務之間的流量都會保持在 Amazon 網路的範圍內。如需 VPC 端點的完整資訊,請參閱《Amazon VPC 使用者指南》中的 VPC 端點

AWS Elastic Beanstalk 支援 AWS PrivateLink,此提供 Elastic Beanstalk 服務的私有連線,並免除公有網際網路的流量暴露。若要讓您的應用程式使用 AWS PrivateLink 傳送請求至 Elastic Beanstalk,您可以設定稱為界面 VPC 端點 (界面端點) 的 VPC 端點類型。如需詳細資訊,請參閱《Amazon VPC 使用者指南》中的界面 VPC 端點 (AWS PrivateLink)

注意

Elastic Beanstalk 支援在有限數量的 AWS 區域中 AWS PrivateLink 和界面 VPC 端點。我們正在努力在不久的未來將支援延伸至更多 AWS 區域。

設定 Elastic Beanstalk 的 VPC 端點

如要在您的 VPC 中建立 Elastic Beanstalk 服務的 VPC 端點,請遵循建立界面端點程序。對於 Service Name (服務名稱),請選擇 com.amazonaws.region.elasticbeanstalk

如果您已經為您的 VPC 設定公有網際網路存取,您的應用程式仍然可以使用 elasticbeanstalk.region.amazonaws.com 公有端點,透過網際網路存取 Elastic Beanstalk。您可以確保在端點建立期間 Enable DNS name (啟用 DNS 名稱) (預設為 true),以避免這種情況。這會在 VPC 中新增 DNS 項目,此項目會將公有服務端點映射至界面 VPC 端點。

設定 VPC 端點以增強運作狀態

若您已啟用環境的增強型運作狀態報告,您也可以將增強運作狀態資訊設定為透過 AWS PrivateLink 來傳送。增強型運作狀態資訊會透過 healthd 協助程式 (一種位於您環境執行個體上的 Elastic Beanstalk 元件) 傳送至個別的 Elastic Beanstalk 增強型運作狀態服務。如要在您的 VPC 中建立此服務的界面 VPC 端點,請遵循建立執行個體端點程序。對於 Service Name (服務名稱),請選擇 com.amazonaws.region.elasticbeanstalk-health

重要

healthd 協助程式會將增強的運作狀態資訊傳送至公有端點 elasticbeanstalk-health.region.amazonaws.com。如果已使用公有網際網路存取設定 VPC,且 VPC 端點的 Enable DNS name (啟用 DNS 名稱) 已停用,則增強的運作狀態資訊會透過公有網際網路傳送。當您設定增強運作狀態 VPC 端點時,這可能不是您的目的。確定 Enable DNS name (啟用 DNS 名稱) (預設為 true)。

在私有 VPC 中使用 VPC 端點

私有 VPC 或 VPC 中的私有子網路,都沒有公有網際網路存取。建議您在私有 VPC 中執行 Elastic Beanstalk 環境,並設定界面 VPC 端點以增強安全性。在這種情況下,請注意您的環境可能會因為其他原因 (除了與 Elastic Beanstalk 服務聯絡) 而嘗試連線到網際網路。若要進一步了解如何在私有 VPC 中執行環境,請參閱 在私有 VPC 中執行 Elastic Beanstalk 環境

使用端點政策搭配 VPC 端點來控制存取

根據預設,VPC 端點允許完整存取與其相關聯的服務。當您建立或修改端點時,可以將端點政策連接至其中。

端點政策是 AWS Identity and Access Management (IAM) 資源政策,此政策可控制從端點到指定服務的存取。端點政策是端點特有的。其與您環境可能擁有任何使用者或執行個體 IAM 政策是分開的,不會覆寫任何這類政策。如需撰寫和使用 VPC 端點政策的詳細資訊,請參閱《Amazon VPC 使用者指南》中的使用 VPC 端點控制對服務的存取

下列範例會拒絕所有使用者透過 VPC 端點終止環境的許可,並允許對所有其他動作的完整存取權。

{
    "Statement": [
        {
            "Action": "*",
            "Effect": "Allow",
            "Resource": "*",
            "Principal": "*"
        },
        {
            "Action": "elasticbeanstalk:TerminateEnvironment",
            "Effect": "Deny",
            "Resource": "*",
            "Principal": "*"
        }
    ]
}
注意

目前,只有主要 Elastic Beanstalk 服務支援將端點政策連接至其 VPC 端點。增強運作狀態服務不支援端點政策。