Akses Amazon EC2 menggunakan titik VPC akhir antarmuka - Amazon Elastic Compute Cloud
Buat titik VPC akhir antarmukaMembuat kebijakan titik akhir

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Akses Amazon EC2 menggunakan titik VPC akhir antarmuka

Anda dapat meningkatkan postur keamanan Anda VPC dengan membuat koneksi pribadi antara Anda VPC dan AmazonEC2. Anda dapat mengakses Amazon EC2 seolah-olah itu ada di AndaVPC, tanpa menggunakan gateway internet, NAT perangkat, VPN koneksi, atau AWS Direct Connect koneksi. Instans di Anda VPC tidak memerlukan alamat IP publik untuk mengakses AmazonEC2.

Untuk informasi selengkapnya, lihat Akses Layanan AWS melalui AWS PrivateLink di AWS PrivateLink Panduan.

Buat titik VPC akhir antarmuka

Buat titik akhir antarmuka untuk Amazon EC2 menggunakan nama layanan berikut:

  • com.amazonaws.region.ec2 — Membuat titik akhir untuk tindakan Amazon. EC2 API

Untuk informasi selengkapnya, lihat Mengakses VPC titik akhir Layanan AWS menggunakan antarmuka di AWS PrivateLink Panduan.

Membuat kebijakan titik akhir

Kebijakan endpoint adalah IAM sumber daya yang dapat Anda lampirkan ke titik akhir antarmuka Anda. Kebijakan endpoint default memungkinkan akses penuh ke Amazon EC2 API melalui titik akhir antarmuka. Untuk mengontrol akses yang diizinkan ke Amazon EC2 API dari AndaVPC, lampirkan kebijakan titik akhir kustom ke titik akhir antarmuka.

kebijakan titik akhir mencantumkan informasi berikut:

  • prinsipal utama yang dapat melakukan tindakan.

  • Tindakan-tindakan yang dapat dilakukan.

  • Sumber daya yang padanya tindakan dapat dilakukan.

penting

Ketika kebijakan non-default diterapkan ke VPC titik akhir antarmuka untuk AmazonEC2, API permintaan tertentu yang gagal, seperti yang gagalRequestLimitExceeded, mungkin tidak masuk atau AWS CloudTrail Amazon. CloudWatch

Untuk informasi selengkapnya, lihat Mengontrol akses ke layanan menggunakan kebijakan titik akhir di Panduan AWS PrivateLink .

Contoh berikut menunjukkan kebijakan VPC titik akhir yang menolak izin untuk membuat volume yang tidak terenkripsi atau meluncurkan instance dengan volume yang tidak terenkripsi. Kebijakan contoh juga memberikan izin untuk melakukan semua EC2 tindakan Amazon lainnya.

{
    "Version": "2012-10-17",
    "Statement": [
    {
        "Action": "ec2:*",
        "Effect": "Allow",
        "Resource": "*",
        "Principal": "*"
    },
    {
        "Action": [
            "ec2:CreateVolume"
        ],
        "Effect": "Deny",
        "Resource": "*",
        "Principal": "*",
        "Condition": {
            "Bool": {
                "ec2:Encrypted": "false"
            }
        }
    },
    {
        "Action": [
            "ec2:RunInstances"
        ],
        "Effect": "Deny",
        "Resource": "*",
        "Principal": "*",
        "Condition": {
            "Bool": {
                "ec2:Encrypted": "false"
            }
        }
    }]
}