Acceda AWS Batch mediante un punto final de interfaz - AWS Batch
ConsideracionesCreación de un punto de conexión de interfazCreación de una política de punto de conexión

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Acceda AWS Batch mediante un punto final de interfaz

Puede usarlo AWS PrivateLink para crear una conexión privada entre su VPC y. AWS Batch Puede acceder a AWS Batch como si estuviera en su VPC, sin el uso de una puerta de enlace de Internet, un dispositivo NAT, una conexión VPN o una conexión AWS Direct Connect . Las instancias de la VPC no necesitan direcciones IP públicas para acceder a AWS Batch.

Esta conexión privada se establece mediante la creación de un punto de conexión de interfaz alimentado por AWS PrivateLink. Creamos una interfaz de red de punto de conexión en cada subred habilitada para el punto de conexión de interfaz. Se trata de interfaces de red administradas por el solicitante que sirven como punto de entrada para el tráfico destinado a AWS Batch.

Para obtener más información, consulte Puntos de conexión de VPC en la AWS PrivateLink guía.

Consideraciones para AWS Batch

Antes de configurar un punto final de la interfaz AWS Batch, consulte las propiedades y limitaciones del punto final de la interfaz en la AWS PrivateLink Guía.

AWS Batch permite realizar llamadas a todas sus acciones de API a través del punto final de la interfaz.

Antes de configurar los puntos finales de la VPC de la interfaz AWS Batch, tenga en cuenta las siguientes consideraciones:

  • Los trabajos que utilizan el tipo de lanzamiento de recursos de Fargate no requieren los puntos de enlace de la VPC de la interfaz para Amazon ECS, pero es posible que necesite los puntos de enlace de la VPC de la interfaz para Amazon AWS Batch ECR, Secrets Manager o Amazon Logs, que se describen en los puntos siguientes. CloudWatch

    • Para ejecutar trabajos, debe crear los puntos de conexión de VPC de interfaz para Amazon ECS. Para obtener más información, consulte Puntos de conexión de VPC de tipo interfaz (AWS PrivateLink PrivateLink) en la Guía para desarrolladores de Amazon Elastic Container Service.

    • Para permitir que sus tareas extraigan imágenes privadas de Amazon ECR, debe crear los puntos de conexión de VPC de interfaz de Amazon ECR. Para obtener más información, consulte Puntos de enlace de la VPC de interfaz (AWS PrivateLink) en la Guía del usuario de Amazon Elastic Container Registry.

    • Para permitir que sus tareas extraigan información confidencial de Secrets Manager, debe crear los puntos de conexión de VPC de interfaz de Secrets Manager. Para obtener más información, consulte Utilización de Secrets Manager con puntos de enlace de la VPC en la Guía del usuario de AWS Secrets Manager .

    • Si su VPC no tiene una puerta de enlace a Internet y sus trabajos utilizan el controlador de awslogs registro para enviar la información de registro a CloudWatch Logs, debe crear un punto de enlace de VPC de interfaz para Logs. CloudWatch Para obtener más información, consulte Uso de CloudWatch registros con puntos de enlace de VPC de interfaz en la Guía del usuario de Amazon CloudWatch Logs.

  • Las tareas que utilizan el tipo de lanzamiento de EC2 requieren que las instancias de contenedor en las que se lanzan ejecuten la versión 1.25.1 o posterior del agente de contenedor de Amazon ECS. Para obtener más información, consulte Versiones del agente de contenedores de Linux en Amazon ECS en la Guía para desarrolladores de Amazon Elastic Container Service.

  • Los puntos de enlace de la VPC no admiten las solicitudes entre regiones. Asegúrese de crear su punto de conexión en la misma región en la que tiene previsto enviar llamadas a la API de AWS Batch.

  • Los puntos de conexión de VPC solo admiten DNS proporcionadas por Amazon a través de Amazon Route 53. Si desea utilizar su propio DNS, puede utilizar el enrutamiento de DNS condicional. Para obtener más información, consulte Conjuntos de opciones de DHCP en la Guía del usuario de Amazon VPC.

  • El grupo de seguridad asociado al punto de conexión de la VPC debe permitir las conexiones entrantes en el puerto 443 desde la subred privada de la VPC.

  • AWS Batch no admite los puntos finales de la interfaz de VPC en los siguientes casos: Regiones de AWS

    • Asia-Pacífico (Osaka) (ap-northeast-3)

    • Asia-Pacífico (Yakarta) (ap-southeast-3)

Cree un punto final de interfaz para AWS Batch

Puede crear un punto final de interfaz para AWS Batch usar la consola de Amazon VPC o AWS Command Line Interface ()AWS CLI. Para obtener más información, consulte Creación de un punto de conexión de interfaz en la Guía de AWS PrivateLink .

Cree un punto final de interfaz para AWS Batch usar el siguiente nombre de servicio:

com.amazonaws.region.batch

Por ejemplo:

com.amazonaws.us-east-2.batch

En la partición aws-cn, el formato es diferente:

cn.com.amazonaws.region.batch

Por ejemplo:

cn.com.amazonaws.cn-northwest-1.batch

Si habilita el DNS privado para el punto final de la interfaz, puede realizar solicitudes de API AWS Batch utilizando su nombre de DNS regional predeterminado. Por ejemplo, batch.us-east-1.amazonaws.com.

Para obtener más información, consulte Acceso a un servicio a través de un punto de conexión de interfaz en la Guía AWS PrivateLink .

Creación de una política de punto de conexión para el punto de conexión de interfaz

Una política de punto de conexión es un recurso de IAM que puede adjuntar al punto de conexión de su interfaz. La política de punto final predeterminada permite el acceso total a AWS Batch través del punto final de la interfaz. Para controlar el acceso permitido a AWS Batch desde la VPC, adjunte una política de puntos de conexión personalizada al punto de conexión de interfaz.

Una política de punto de conexión especifica la siguiente información:

  • Las entidades principales (Cuentas de AWS, usuarios y roles de IAM) que puede realizar acciones

  • Las acciones que se pueden realizar.

  • El recurso en el que se pueden realizar las acciones.

Para obtener más información, consulte Control del acceso a los servicios con políticas de punto de conexión en la Guía del usuario de AWS PrivateLink .

Ejemplo: política de puntos finales de VPC para acciones AWS Batch

El siguiente es un ejemplo de una política de un punto de conexión personalizado. Al adjuntar esta política al punto final de la interfaz, se concede acceso a las AWS Batch acciones enumeradas a todos los principales de todos los recursos.

{
   "Statement": [
      {
         "Principal": "*",
         "Effect": "Allow",
         "Action": [
            "batch:SubmitJob",
            "batch:ListJobs",
            "batch:DescribeJobs"
         ],
         "Resource":"*"
      }
   ]
}