WKLD.12 : utiliser les points de terminaison d'un VPC pour accéder aux services pris en charge

Dans les VPC, les ressources qui doivent accéder à AWS ou à d'autres services externes nécessitent soit une route vers Internet (0.0.0.0/0) ou l'adresse IP publique du service cible. Utilisez les points de terminaison d'un VPC pour activer une route IP privée entre votre VPC et les services AWS ou autres pris en charge, ce qui évite d'avoir à utiliser une passerelle Internet, un périphérique NAT, une connexion de réseau privé virtuel (VPN), ou une connexion AWS Direct Connect.

Les points de terminaison d'un VPC permettent d'associer des stratégies et des groupes de sécurité afin de mieux contrôler l'accès à un service. Par exemple, vous pouvez écrire une stratégie de point de terminaison d'un VPC pour Amazon DynamoDB afin d'autoriser uniquement les actions au niveau de l'élément et d'empêcher les actions au niveau de la table pour toutes les ressources du VPC, quelle que soit leur propre stratégie d'autorisation. Vous pouvez également écrire une stratégie de compartiment S3 pour autoriser uniquement les demandes provenant d'un point de terminaison d'un VPC spécifique, en refusant tout autre accès externe. Un point de terminaison d'un VPC peut également disposer d'une règle de groupe de sécurité qui, par exemple, restreint l'accès aux instances EC2 associées à un groupe de sécurité propre à une application, tel que le niveau de logique métier d'une application Web.

Il existe différents types de point de terminaison d'un VPC. Vous accédez à la plupart des services en utilisant un point de terminaison d'interface d'un VPC. L'accès à DynamoDB se fait à l'aide d'un point de terminaison d'une passerelle. Amazon S3 prend en charge les points de terminaison de passerelle et d'interface. Les points de terminaison de passerelle sont recommandés pour les charges de travail contenues dans un seul compte et une seule Région AWS, et ce, sans frais supplémentaires. Les points de terminaison d'interface sont recommandés si un accès plus extensible est requis, par exemple à un compartiment S3 depuis d'autres VPC, depuis des réseaux sur site ou depuis différentes Régions AWS. Les points de terminaison d'interface sont soumis à des frais de disponibilité horaire et à des frais de traitement des données par Go, tous deux inférieurs aux frais respectifs d'envoi des données vers 0.0.0.0/0 par le biais d'une passerelle NAT AWS.

Pour plus d'informations sur l'utilisation de points de terminaison d'un VPC, consultez les ressources suivantes :

Pour plus d'informations sur le choix entre les points de terminaison d'interface et de passerelle pour Amazon S3, veuillez consulter Choosing Your VPC Endpoint Strategy for Amazon S3 (billet de blog AWS).
Configuration d'un point de terminaison d'interface (documentation Amazon VPC).
Créer un point de terminaison de Passerelle (documentation Amazon VPC).
Pour un exemple de stratégies de compartiment S3 qui limitent l'accès à un VPC ou à un point de terminaison d'un VPC spécifique, veuillez consulter Restriction de l'accès à un point de terminaison d'un VPC spécifique (documentation Amazon S3).
Pour un exemple de stratégies de point de terminaison DynamoDB qui limitent les actions, veuillez consulter Stratégies de point de terminaison pour DynamoDB (documentation Amazon VPC).

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

WKLD.11 : utiliser des groupes de sécurité pour restreindre l'accès

WKLD.13 : exiger le protocole HTTPS pour tous les points de terminaison Web publics