Points de terminaison d’un VPC de passerelle - Amazon Virtual Private Cloud

Points de terminaison d’un VPC de passerelle

Les points de terminaison de passerelle fournissent une connectivité fiable à Amazon S3 et DynamoDB sans nécessiter de passerelle Internet ou d'appareil NAT pour votre VPC. Les points de terminaison de passerelle n'activent pas AWS PrivateLink.

Pour créer et configurer un point de terminaison de passerelle, suivez ces étapes générales :

  1. Spécifiez le VPC dans lequel créer le point de terminaison et le service auquel vous souhaitez vous connecter. Un service est identifié par une liste de préfixes gérée par AWS (nom et ID d'un service pour une Région). Un ID de liste de préfixes AWS utilise le format pl-xxxxxxx et un nom de liste de préfixes AWS utilise le format « com.amazonaws.region.service ». Utilisez le nom de liste de préfixes AWS (nom de service) pour créer un point de terminaison.

  2. Attachez une stratégie de point de terminaison à votre point de terminaison pour autoriser l'accès à certains ou à tous les services auxquels vous vous connectez. Pour plus d'informations, consultez Utiliser les stratégies de point de terminaison d'un VPC.

  3. Spécifiez une ou plusieurs tables de routage dans lesquelles créer les itinéraires vers le service. Les tables de routage contrôlent l'acheminement du trafic entre votre VPC et l'autre service. Chaque sous-réseau associé à une de ces tables de routage a accès au point de terminaison, et le trafic entre les instances de ces sous-réseaux et le service est ensuite acheminé via le point de terminaison.

Dans le schéma suivant, les instances du sous-réseau 2 peuvent accéder à Amazon S3 par le biais du point de terminaison de passerelle.


				Utilisation d'un point de terminaison de passerelle pour accéder à Amazon S3

Vous pouvez créer plusieurs points de terminaison dans un seul VPC, par exemple, pour plusieurs services. Vous pouvez aussi créer plusieurs points de terminaison pour un seul service et vous pouvez utiliser différentes tables de routage pour imposer différentes stratégies d'accès depuis plusieurs sous-réseaux vers le même service.

Après avoir créé un point de terminaison, vous pouvez modifier la stratégie du point de terminaison attachée à votre point de terminaison, et ajouter ou supprimer les tables de routage utilisées par le point de terminaison.

Tarification des points de terminaison de passerelle

Il n'y a pas de frais supplémentaires pour l'utilisation de points de terminaison de passerelle. Des frais standards s'appliquent pour le transfert de données et l'utilisation de ressources. Pour de plus amples informations sur la tarification, veuillez consulter Tarification d’Amazon EC2.

Routage des points de terminaison de passerelle

Quand vous créez ou modifiez un point de terminaison, vous spécifiez les tables de routage VPC qui sont utilisées pour accéder au service via le point de terminaison. Une route est automatiquement ajoutée à chacune des tables de routage avec une destination qui indique l'ID de liste de préfixes AWS du service (pl-xxxxxxxx) et une cible avec l'ID du point de terminaison (vpce-xxxxxxxx) ; par exemple :

Destination Cible
10.0.0.0/16 Locale
pl-1a2b3c4d vpce-11bb22cc

L'ID de liste des préfixes représente logiquement la plage d'adresses IP publiques utilisée par le service. Toutes les instances des sous-réseaux associés aux tables de routage spécifiées utilisent automatiquement le point de terminaison pour accéder au service. Les sous-réseaux qui ne sont pas associés aux tables de routage spécifiées n'utilisent pas le point de terminaison. Vous pouvez ainsi garder des ressources dans d'autres sous-réseaux séparés de votre point de terminaison.

Pour voir la plage d'adresses IP publiques actuelle d'un service, vous pouvez utiliser la commande describe-prefix-lists. .

Note

La plage d'adresses IP publiques pour un service peut changer de temps en temps. Prenez en compte les implications avant d'effectuer le routage ou de prendre d'autres décisions selon la plage d'adresses IP actuelle pour un service.

Les règles suivantes s'appliquent :

  • Vous pouvez avoir plusieurs routes de point de terminaison pour différents services dans une table de routage, et vous pouvez avoir plusieurs routes de point de terminaison pour le même service dans différentes tables de routage. Mais vous ne pouvez pas avoir plusieurs routes de point de terminaison pour le même service dans une seule table de routage. Par exemple, si vous créez deux points de terminaison vers Amazon S3 dans votre VPC, vous ne pouvez pas créer de routes pour les deux points de terminaison dans la même table de routage.

  • Vous ne pouvez pas explicitement ajouter, modifier ou supprimer une route de point de terminaison dans votre table de routage en utilisant ses API ou la page Tables de routage de la console Amazon VPC. Vous pouvez uniquement ajouter une route de point de terminaison en associant une table de routage à un point de terminaison. Vous pouvez modifier le point de terminaison pour changer les tables de routage qui sont associées à votre point de terminaison.

  • Une route du point de terminaison est automatiquement supprimée quand vous enlevez l'association de la table de routage depuis le point de terminaison (en modifiant le point de terminaison) ou quand vous supprimez votre point de terminaison.

Nous utilisons la route la plus spécifique qui correspond au trafic afin de déterminer comment router le trafic (correspondance de préfixe le plus long). Si vous avez un itinéraire existant dans votre table de routage pour tout le trafic Internet (0.0.0.0/0) qui pointe vers une passerelle Internet, l'itinéraire du point de terminaison est prioritaire sur tout le trafic destiné au service, puisque la plage d'adresses IP pour le service est plus spécifique que 0.0.0.0/0. Tout le reste du trafic Internet va vers votre passerelle Internet, y compris le trafic destiné au service dans d'autres régions.

Cependant, si vous avez des itinéraires plus spécifiques existants vers des plages d'adresses IP qui pointent vers une passerelle Internet ou un périphérique NAT, ces itinéraires sont prioritaires. Si vous avez des routes existantes destinées à une plage d'adresses IP qui est identique à la plage d'adresses IP utilisée par le service, alors vos routes sont prioritaires.

Exemple : une route de point de terminaison dans une table de routage

Dans ce scénario, vous avez un itinéraire existant dans votre table de routage pour tout le trafic Internet (0.0.0.0/0) qui pointe vers une passerelle Internet. Tout trafic sortant du sous-réseau destiné à un autre service AWS utilise la passerelle Internet.

Destination Cible
10.0.0.0/16 Locale
0.0.0.0/0 igw-1a2b3c4d

Vous pouvez créer un point de terminaison vers un service AWS pris en charge et associer votre table de routage au point de terminaison. Une route de point de terminaison est automatiquement ajoutée à la table de routage, avec comme destination pl-1a2b3c4d (en supposant que cela représente le service vers lequel vous avez créé le point de terminaison). Maintenant, tout trafic du sous-réseau destiné à ce service AWS dans la même région va vers le point de terminaison et non vers la passerelle Internet. Tout autre trafic Internet va vers votre passerelle Internet, y compris le trafic destiné à d'autres services et destiné au service AWS dans d'autres régions.

Destination Cible
10.0.0.0/16 Locale
0.0.0.0/0 igw-1a2b3c4d
pl-1a2b3c4d vpce-11bb22cc

Exemple : ajustement de vos tables de routage pour les points de terminaison

Dans ce scénario, 54.123.165.0/24 se trouve dans la plage d'adresses IP Amazon S3 et vous avez configuré votre table de routage pour permettre aux instances de votre sous-réseau de communiquer avec les compartiments Amazon S3 par le biais d'une passerelle Internet. Vous avez ajouté un itinéraire avec 54.123.165.0/24 comme destination et la passerelle Internet comme cible. Vous créez ensuite un point de terminaison et associez cette table de routage au point de terminaison. Une route de point de terminaison est automatiquement ajoutée à la table de routage. Vous utilisez ensuite la commande describe-prefix-lists afin d’afficher la plage d'adresses IP pour Amazon S3. La plage est 54.123.160.0/19, ce qui est moins spécifique que la plage qui pointe vers votre passerelle Internet. Cela signifie que tout trafic destiné à la plage d'adresses IP 54.123.165.0/24 continue d'utiliser la passerelle Internet et n'utilise pas le point de terminaison, aussi longtemps qu'elle reste la plage d'adresses IP publiques pour Amazon S3.

Destination Cible
10.0.0.0/16 Locale
54.123.165.0/24 igw-1a2b3c4d
pl-1a2b3c4d vpce-11bb22cc

Pour vous assurer que tout le trafic destiné à Amazon S3 de la même région est acheminé par le biais du point de terminaison, vous devez ajuster les routes dans votre table de routage. Pour ce faire, vous pouvez supprimer l'itinéraire vers la passerelle Internet. Désormais, tout le trafic pour Amazon S3 de la même région utilise le point de terminaison et le sous-réseau associé à votre table de routage est privé.

Destination Cible
10.0.0.0/16 Locale
pl-1a2b3c4d vpce-11bb22cc

Limitations de point de terminaison de passerelle

Pour utiliser les points de terminaison de passerelle, vous devez être conscient des limitations actuelles :

  • Vous ne pouvez pas utiliser d'ID de liste de préfixes AWS dans une règle sortante d'une liste ACL réseau pour autoriser ou refuser le trafic sortant à destination du service spécifié dans un point de terminaison. Si vos règles ACL réseau limitent le trafic, vous devez spécifier le bloc d'adresses CIDR (plage d'adresses IP) pour le service à la place. Vous pouvez toutefois utiliser un ID de liste de préfixes AWS dans une règle de groupe de sécurité de trafic sortant. Pour plus d'informations, consultez Groupes de sécurité.

  • Les points de terminaison sont uniquement pris en charge dans une même région. Vous ne pouvez pas créer un point de terminaison entre un VPC et un service situé dans une autre région.

  • Les points de terminaison prennent en charge le trafic IPv4 uniquement.

  • Vous ne pouvez pas transférer de point de terminaison d'un VPC à un autre, ou d'un service à un autre.

  • Vous êtes soumis à un quota pour le nombre de points de terminaison que vous pouvez créer par VPC. Pour plus d'informations, consultez AWS PrivateLinkQuotas .

  • Les connexions de point de terminaison ne peuvent être étendues à l'extérieur d'un VPC. Les ressources situées de l'autre côté d'une connexion VPN, d'une connexion d'appairage de VPC, d'une passerelle de transit, d'une connexion AWS Direct Connect ou d'une connexion ClassicLink de votre VPC ne peuvent pas utiliser le point de terminaison pour communiquer avec les ressources du service de point de terminaison.

  • Vous devez activer la résolution DNS dans votre VPC ou, si vous utilisez votre propre serveur DNS, vous devez veiller à ce que les demandes DNS vers le service requis (par exemple, Amazon S3) soient résolues correctement en adresses IP gérées par AWS. Pour en savoir plus, consultez Utilisation de DNS avec votre VPC dans le Guide de l'utilisateur Amazon VPC et Plages d'adresse IP AWS dans Référence générale d'Amazon Web Services.

  • Vérifiez les limites spécifiques au service pour votre service de point de terminaison.

Pour de plus amples informations en ce qui concerne les règles et limitations propres à Amazon S3, veuillez consulter Points de terminaison pour Amazon S3.

Pour de plus amples informations en ce qui concerne les règles et limitations propres à DynamoDB, veuillez consulter Points de terminaison pour Amazon DynamoDB.

Créer un point de terminaison de passerelle

Pour créer un point de terminaison, vous devez spécifier le VPC dans lequel vous voulez créer le point de terminaison et le service avec lequel vous voulez établir la connexion.

Pour créer un point de terminaison de passerelle à l'aide de la console

  1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.

  2. Dans le volet de navigation, sélectionnez Points de terminaison, Créer un point de terminaison.

  3. Pour Nom du service, choisissez le service auquel vous connectez. Pour créer un point de terminaison de passerelle vers DynamoDB ou Amazon S3, assurez-vous que la colonne Type indique Gateway (Passerelle).

  4. Complétez les informations suivantes, puis choisissez Créer un point de terminaison.

    • Pour VPC, sélectionnez un VPC dans lequel créer le point de terminaison.

    • Pour Configurer les tables de routage, sélectionnez les tables de routage à utiliser par le point de terminaison. Un itinéraire est automatiquement ajouté qui pointe le trafic destiné au service vers le point de terminaison des tables de routage sélectionnées.

    • Pour Stratégie, choisissez le type de stratégie. Vous pouvez laisser l'option par défaut, Full Access, pour autoriser un accès total au service. Vous pouvez également sélectionner Custom (Personnaliser) puis utiliser le générateur de stratégie AWS pour créer une stratégie personnalisée ou entrer votre propre stratégie dans la fenêtre de stratégie.

    • (Facultatif) Ajoutez ou supprimez une balise.

      [Ajouter une identification] Choisissez Ajouter une identification et procédez comme suit :

      • Pour Clé, saisissez le nom de la clé.

      • Pour Valeur, saisissez la valeur clé.

      [Supprimer une balise] Choisissez le bouton de suppression (« x ») situé à la droite de la clé et de la valeur de la balise.

Une fois que vous avez créé un point de terminaison d'interface, vous pouvez afficher des informations à son sujet.

Pour afficher les informations sur un point de terminaison de passerelle à l'aide de la console

  1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.

  2. Dans le volet de navigation, choisissez Points de terminaison, puis sélectionnez votre point de terminaison.

  3. Pour afficher des informations sur le point de terminaison, choisissez Résumé. Vous pouvez obtenir le nom de la liste de préfixes AWS du service dans la zone Service.

  4. Pour afficher des informations sur les tables de routage utilisées par le point de terminaison, choisissez Tables de routage.

  5. Pour afficher la stratégie IAM attachée à votre point de terminaison, choisissez Policy (Stratégie).

    Note

    L'onglet Stratégie affiche uniquement la stratégie du point de terminaison. Il n'affiche aucune information sur les stratégies IAM pour les utilisateurs IAM qui sont autorisés à utiliser des points de terminaison. Il n'affiche pas non plus de stratégies spécifiques aux services ; par exemple, les stratégies de compartiment S3.

Pour créer et afficher un point de terminaison à l'aide de l AWS CLI

  1. Utilisez la commande describe-vpc-endpoint-services pour obtenir la liste des services disponibles. Dans le résultat retourné, prenez note du nom du service auquel vous voulez vous connecter. Le champ serviceType indique si vous vous connectez au service via un point de terminaison d'interface ou un point de terminaison de passerelle.

    aws ec2 describe-vpc-endpoint-services
    { "serviceDetailSet": [ { "serviceType": [ { "serviceType": "Gateway" } ...
  2. Pour créer un point de terminaison de passerelle (par exemple, vers Amazon S3), utilisez la commande create-vpc-endpoint et spécifiez l'ID du VPC, le nom du service et les tables de routage qui utiliseront le point de terminaison. Vous pouvez, le cas échéant, utiliser le paramètre --policy-document pour spécifier une stratégie personnalisée afin de contrôler l'accès au service. Si le paramètre n,'est pas utilisé, nous lui attachons une stratégie par défaut pour vous qui autorise un accès total au service.

    Pour Amazon S3, vous devez définir le paramètre --vpc-endpoint-type sur Gateway.

    aws ec2 create-vpc-endpoint --vpc-id vpc-1a2b3c4d --service-name com.amazonaws.us-east-1.s3 --route-table-ids rtb-11aa22bb --vpc-endpoint-type Gateway
  3. Décrivez votre point de terminaison à l'aide de la commande describe-vpc-endpoints.

    aws ec2 describe-vpc-endpoints

Pour décrire les services disponibles à l'aide du kit AWS Tools for Windows PowerShell ou de l'API

Pour créer un point de terminaison de VPC l'aide de AWS Tools for Windows PowerShell ou de l'API

Pour décrire vos points de terminaison VPC à l'aide des AWS Tools for Windows PowerShell ou de l'API

Modifier votre groupe de sécurité

Si le groupe de sécurité du VPC associé à votre instance restreint le trafic sortant, vous devez ajouter une règle pour autoriser le trafic destiné au service AWS à quitter votre instance.

Pour ajouter une règle sortante pour un point de terminaison de passerelle

  1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.

  2. Dans le volet de navigation, choisissez Groupes de sécurité.

  3. Sélectionnez le groupe de sécurité de votre VPC, choisissez l'onglet Règles sortantes, puis Modifier.

  4. Sélectionnez le type de trafic dans la liste Type et entrez la plage de ports, si nécessaire. Par exemple, si vous utilisez votre instance pour récupérer des objets depuis Amazon S3, choisissez HTTPS dans la liste Type.

  5. Pour Destination, commencez par saisir pl- pour afficher une liste des ID et des noms de listes de préfixes pour les services AWS disponibles. Choisissez l'ID de liste des préfixes pour le service AWS ou saisissez-le.

  6. Choisissez Enregistrer.

Pour obtenir le nom de la liste des préfixes, l'ID et la plage d'adresses IP d'un service AWS à l'aide de la ligne de commande ou de l'API

Modifier un point de terminaison de passerelle

Vous pouvez modifier un point de terminaison de passerelle en changeant ou en supprimant sa stratégie, et en ajoutant ou en supprimant les tables de routage utilisées par le point de terminaison.

Si vous souhaitez migrer un point de terminaison de passerelle Amazon S3 existant vers un point de terminaison d'interface, après avoir créé le point de terminaison de l'interface d'Amazon S3, supprimez le point de terminaison de la passerelle Amazon S3. Pour de plus amples informations, veuillez consulter Créer un point de terminaison d'interface et Supprimer un point de terminaison d'un VPC.

Pour modifier la stratégie associée à un point de terminaison de passerelle

  1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.

  2. Dans le volet de navigation, choisissez Points de terminaison, puis sélectionnez votre point de terminaison.

  3. Choisissez Actions, Modifier une stratégie.

  4. Vous pouvez choisir Accès complet pour autoriser un accès total. Vous pouvez également sélectionner Custom (Personnaliser), puis utiliser le générateur de stratégie AWS pour créer une stratégie personnalisée ou entrer votre propre stratégie dans la fenêtre de stratégie. Lorsque vous avez terminé, sélectionnez Save.

    Note

    Il peut se passer quelques minutes avant que les changements de stratégie prennent effet.

Pour ajouter ou supprimer des tables de routage utilisées par un point de terminaison de passerelle

  1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.

  2. Dans le volet de navigation, choisissez Points de terminaison, puis sélectionnez votre point de terminaison.

  3. Choisissez Actions, Gérer les tables de routage.

  4. Sélectionnez les tables de routage requises ou annulez leur sélection, puis choisissez Modify Route Tables (Modifier les tables de routage).

Pour modifier un point de terminaison de passerelle à l'aide de l AWS CLI

  1. Utilisez la commande describe-vpc-endpoints pour obtenir l'ID de votre point de terminaison de passerelle.

    aws ec2 describe-vpc-endpoints
  2. L'exemple suivant utilise la commande modify-vpc-endpoint pour associer la table de routage rtb-aaa222bb au point de terminaison de passerelle et réinitialiser le document de stratégie.

    aws ec2 modify-vpc-endpoint --vpc-endpoint-id vpce-1a2b3c4d --add-route-table-ids rtb-aaa222bb --reset-policy

Pour modifier un point de terminaison de VPC à l'aide de AWS Tools for Windows PowerShell ou d’une API

Ajouter ou supprimer des balises de point de terminaison de passerelle

Les balises permettent d'identifier le point de terminaison de passerelle. Vous pouvez ajouter ou supprimer une balise.

Pour ajouter ou supprimer une balise de point de terminaison de passerelle

  1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.

  2. Dans le volet de navigation, choisissez Endpoints (Points de terminaison).

  3. Sélectionnez le point de terminaison de passerelle et choisissez Actions, Add/Edit Tags (Ajouter/modifier des balises).

  4. Ajoutez ou supprimez une balise.

    [Ajouter une balise] Choisissez Create tag (Créer une balise) et procédez comme suit :

    • Pour Clé, saisissez le nom de la clé.

    • Pour Valeur, saisissez la valeur clé.

    [Supprimer une balise] Choisissez le bouton de suppression (« x ») situé à la droite de la clé et de la valeur de la balise.

Pour ajouter ou supprimer une balise à l’aide de AWS Tools for Windows PowerShell ou d'une API