Accédez à Amazon à EC2 l'aide d'un point de VPC terminaison d'interface - Amazon Elastic Compute Cloud
Création d'un point de VPC terminaison d'interfaceCréation d’une politique de point de terminaison

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Accédez à Amazon à EC2 l'aide d'un point de VPC terminaison d'interface

Vous pouvez améliorer votre niveau de sécurité VPC en créant une connexion privée entre vous VPC et AmazonEC2. Vous pouvez accéder à Amazon EC2 comme s'il s'agissait de votre VPC compte, sans passer par une passerelle Internet, un NAT appareil, une VPN connexion ou une AWS Direct Connect connexion. Les instances de votre VPC ordinateur n'ont pas besoin d'adresses IP publiques pour accéder à AmazonEC2.

Pour plus d'informations, consultez la section Accès AWS services par AWS PrivateLink le biais du AWS PrivateLink guide.

Création d'un point de VPC terminaison d'interface

Créez un point de terminaison d'interface pour Amazon EC2 en utilisant le nom de service suivant :

  • com.amazonaws.region.ec2 — Crée un point de terminaison pour les actions Amazon EC2API.

Pour plus d'informations, consultez la section Accès et AWS service utilisation d'un point de VPC terminaison d'interface dans le AWS PrivateLink Guide.

Création d’une politique de point de terminaison

Une politique de point de terminaison est une IAM ressource que vous pouvez associer au point de terminaison de votre interface. La politique de point de terminaison par défaut autorise un accès complet à Amazon EC2 API via le point de terminaison de l'interface. Pour contrôler l'accès autorisé à Amazon EC2 API depuis votre ordinateurVPC, associez une politique de point de terminaison personnalisée au point de terminaison de l'interface.

Une politique de point de terminaison spécifie les informations suivantes :

  • Le mandataire qui peut exécuter des actions.

  • Les actions qui peuvent être effectuées.

  • La ressource sur laquelle les actions peuvent être effectuées.

Important

Lorsqu'une politique autre que celle par défaut est appliquée à un point de VPC terminaison d'interface pour AmazonEC2, certaines API demandes ayant échoué, telles que celles émanant deRequestLimitExceeded, peuvent ne pas être connectées à Amazon AWS CloudTrail ou à Amazon CloudWatch.

Pour plus d’informations, consultez Contrôle de l’accès aux services à l’aide de politiques de point de terminaison dans le Guide AWS PrivateLink .

L'exemple suivant montre une politique de point de VPC terminaison qui refuse l'autorisation de créer des volumes non chiffrés ou de lancer des instances avec des volumes non chiffrés. L'exemple de politique accorde également l'autorisation d'effectuer toutes les autres EC2 actions Amazon.

{
    "Version": "2012-10-17",
    "Statement": [
    {
        "Action": "ec2:*",
        "Effect": "Allow",
        "Resource": "*",
        "Principal": "*"
    },
    {
        "Action": [
            "ec2:CreateVolume"
        ],
        "Effect": "Deny",
        "Resource": "*",
        "Principal": "*",
        "Condition": {
            "Bool": {
                "ec2:Encrypted": "false"
            }
        }
    },
    {
        "Action": [
            "ec2:RunInstances"
        ],
        "Effect": "Deny",
        "Resource": "*",
        "Principal": "*",
        "Condition": {
            "Bool": {
                "ec2:Encrypted": "false"
            }
        }
    }]
}