Configurazione di servizio endpoint

Dopo aver creato un servizio endpoint, puoi aggiornarne la configurazione.

Gestione delle autorizzazioni

La combinazione di autorizzazioni e impostazioni di accettazione consente di controllare quali consumatori (AWS responsabili) del servizio possono accedere al servizio endpoint. Ad esempio, puoi concedere autorizzazioni a principali specifici che ritieni affidabili e accettare automaticamente tutte le richieste di connessione oppure concedere autorizzazioni a un gruppo più ampio di principali e accettare manualmente specifiche richieste di connessione che ritieni affidabili.

Per impostazione predefinita, il servizio endpoint non è disponibile per gli utenti del servizio. È necessario aggiungere autorizzazioni che consentano a AWS responsabili specifici di creare un endpoint VPC di interfaccia per connettersi al servizio endpoint. Per aggiungere le autorizzazioni per un AWS principale, è necessario il relativo Amazon Resource Name (ARN). L'elenco seguente include gli ARN di esempio per diversi principali AWS supportati.

ARN per i mandanti AWS

Account AWS (include tutti i principali dell'account)

arn:aws:iam::account_id:root

Ruolo

arn:aws:iam::account_id:role/role_name

Utente

arn:aws:iam::account_id:user/user_name

Tutti i principali in tutto Account AWS

*

Considerazioni

• Se concedi a tutti gli utenti l'autorizzazione ad accedere al servizio endpoint e lo configuri in modo da accettare tutte le richieste, il load balancer sarà pubblico anche se non dispone di un indirizzo IP pubblico.

• Se rimuovi le autorizzazioni, ciò non influirà sulle connessioni esistenti tra l'endpoint e il servizio che erano state precedentemente accettate.

Gestione delle autorizzazioni per il servizio endpoint tramite la console

1. Accedere alla console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc/.

2. Nel pannello di navigazione scegli Endpoint Services (Servizi endpoint).

3. Seleziona il servizio endpoint e scegli la scheda Allow principals (Consenti principali).

4. Per aggiungere le autorizzazioni, scegli Allow principals (Consenti principali). In Principals to add (Entità principali da aggiungere), immetti l'ARN del principale. Per aggiungere un altro principale, scegliere Add principal (Aggiungi principale). Una volta completata l'aggiunta di principali, scegli Allow principals (Consenti principali).

5. Per rimuovere le autorizzazioni, seleziona il principale e scegli Actions (Operazioni), Delete (Elimina). Quando viene richiesta la conferma, immettere delete e quindi scegliere Elimina.

Per aggiungere le autorizzazioni per il servizio endpoint mediante la riga di comando

• modify-vpc-endpoint-service-permessi ()AWS CLI

• Edit-EC2EndpointServicePermission(Strumenti per Windows) PowerShell

Accettare o rifiutare le richieste di connessione

La combinazione di autorizzazioni e impostazioni di accettazione consente di controllare quali consumatori (AWS responsabili) del servizio possono accedere al servizio endpoint. Ad esempio, puoi concedere autorizzazioni a principali specifici che ritieni affidabili e accettare automaticamente tutte le richieste di connessione oppure concedere autorizzazioni a un gruppo più ampio di principali e accettare manualmente specifiche richieste di connessione che ritieni affidabili.

Puoi configurare il servizio endpoint per accettare automaticamente le richieste di connessione. In caso contrario, è necessario accettarle o rifiutarle manualmente. Se non accetti una richiesta di connessione, l'utente del servizio non potrà accedere al servizio endpoint.

Se concedi a tutti gli utenti l'autorizzazione ad accedere al servizio endpoint e lo configuri in modo da accettare tutte le richieste, il load balancer sarà pubblico anche se non dispone di un indirizzo IP pubblico.

Puoi scegliere di ricevere una notifica nel momento in cui una richiesta di connessione viene accettata o rifiutata. Per ulteriori informazioni, consulta Ricezione di avvisi per gli eventi relativi al servizio endpoint.

Per modificare l'impostazione di accettazione tramite la console

1. Accedere alla console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc/.

2. Nel pannello di navigazione scegli Endpoint Services (Servizi endpoint).

3. Selezionare il servizio endpoint.

4. Selezionare Actions (Operazioni), Modify endpoint acceptance setting (Modifica impostazione di accettazione Endpoint).

5. Seleziona o deseleziona l'opzione Acceptance required (Accettazione richiesta).

6. Scegli Save changes (Salva modifiche).

Per modificare l'impostazione di accettazione tramite la riga di comando

• modify-vpc-endpoint-service-configurazione ()AWS CLI

• Edit-EC2VpcEndpointServiceConfiguration(Strumenti per Windows PowerShell)

Per accettare o rifiutare una richiesta di connessione tramite la console

1. Accedere alla console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc/.

2. Nel pannello di navigazione scegli Endpoint Services (Servizi endpoint).

3. Selezionare il servizio endpoint.

4. Dalla scheda Endpoint connections (Connessioni endpoint), seleziona la connessione endpoint.

5. Per accettare la richiesta di connessione, scegli Actions (Operazioni), Accept endpoint connection request (Accetta richiesta di connessione endpoint). Quando viene richiesta la conferma, immetti accept e seleziona Accept (Accetta).

6. Per rifiutare la richiesta di connessione, scegliere Operazioni, Rifiuta la richiesta di connessione endpoint. Quando viene richiesta la conferma, immetti reject e seleziona Reject (Rifiuta).

Per accettare o rifiutare una richiesta di connessione tramite la riga di comando

• accept-vpc-endpoint-connectionso reject-vpc-endpoint-connections(AWS CLI)

• Approve-EC2EndpointConnectiono Deny-EC2EndpointConnection(Strumenti per Windows PowerShell)

Gestisci i sistemi di bilanciamento del carico

Puoi gestire i sistemi di bilanciamento del carico associati al tuo servizio endpoint. Tuttavia, non puoi dissociare un load balancer se vi sono endpoint collegati al servizio endpoint.

Se abiliti un'altra zona di disponibilità per un Network Load Balancer, puoi anche abilitare la zona di disponibilità per il tuo servizio endpoint. Dopo aver abilitato una zona di disponibilità per il servizio endpoint, i consumatori del servizio possono aggiungere una sottorete da quella zona di disponibilità agli endpoint VPC di interfaccia.

Per gestire i sistemi di bilanciamento del carico per il servizio endpoint utilizzando la console

1. Accedere alla console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc/.

2. Nel pannello di navigazione scegli Endpoint Services (Servizi endpoint).

3. Selezionare il servizio endpoint.

4. Seleziona Actions (Operazioni), Associate or disassociate load balancers (Associa o dissocia i bilanciatori del carico).

5. Modifica la configurazione del servizio endpoint in base alle esigenze. Per esempio:

   • Seleziona la casella di controllo relativa a un load balancer per associarlo al servizio endpoint.

   • Deseleziona la casella di controllo relativa a un sistema di bilanciamento del carico per dissociarlo dal servizio endpoint. È necessario mantenere selezionato almeno un sistema di bilanciamento del carico.

   • Se di recente hai abilitato un'altra zona di disponibilità per il tuo sistema di bilanciamento del carico, questa viene visualizzata in Zone di disponibilità incluse. Se si salvano le modifiche nel passaggio successivo, viene abilitato il servizio endpoint per la nuova zona di disponibilità.

6. Scegli Salva modifiche.

Per gestire i sistemi di bilanciamento del carico per il servizio endpoint utilizzando la riga di comando

• modify-vpc-endpoint-service-configurazione ()AWS CLI

• Edit-EC2VpcEndpointServiceConfiguration(Strumenti per Windows PowerShell)

Per abilitare il servizio endpoint in una zona di disponibilità che è stata recentemente abilitata per il load balancer, è sufficiente chiamare il comando con l'ID del servizio endpoint.

Associazione di un nome DNS privato

Puoi associare un nome DNS privato al servizio endpoint. Dopo aver eseguito questa operazione, devi aggiornare la voce del dominio sul server DNS. Il provider di servizi deve dimostrare di essere il proprietario del dominio prima che gli utenti possano utilizzare il nome DNS privato. Per ulteriori informazioni, consulta Gestione dei nomi DNS.

Per modificare un nome DNS privato del servizio endpoint utilizzando la console

1. Accedere alla console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc/.

2. Nel pannello di navigazione scegli Endpoint Services (Servizi endpoint).

3. Selezionare il servizio endpoint.

4. Scegli Actions (Operazioni), Modify Private DNS names (Modifica nomi DNS privati).

5. Seleziona Associate a private DNS name with the service (Associa un nome DNS privato al servizio) e immetti il nome DNS privato.

   • I nomi di dominio devono utilizzare lettere minuscole.

   • Puoi usare caratteri jolly nei nomi di dominio (ad esempio, *.myexampleservice.com).

6. Seleziona Salvataggio delle modifiche.

7. Gli utenti del servizio possono utilizzare il nome DNS privato quando lo stato della verifica è verificato. Se lo stato della verifica cambia, le nuove richieste di connessione vengono rifiutate, senza tuttavia influenzare quelle esistenti.

Per modificare un nome DNS privato del servizio endpoint utilizzando la riga di comando

• modify-vpc-endpoint-service-configurazione ()AWS CLI

• Edit-EC2VpcEndpointServiceConfiguration(Strumenti per Windows PowerShell)

Per avviare il processo di verifica del dominio utilizzando la console

1. Accedere alla console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc/.

2. Nel pannello di navigazione scegli Endpoint Services (Servizi endpoint).

3. Selezionare il servizio endpoint.

4. Scegli Actions (Operazioni),Verify domain ownership for private DNS name (Verifica la proprietà del dominio per il nome DNS privato).

5. Quando viene richiesta la conferma, immettere verify e selezionare Verify (Verifica).

Per avviare il processo di verifica del dominio utilizzando la riga di comando

• start-vpc-endpoint-service-private-dns-verification (AWS CLI)

• Start-EC2VpcEndpointServicePrivateDnsVerification(Strumenti per Windows PowerShell)

Modifica dei tipi di indirizzo IP supportati

Puoi modificare i tipi di indirizzo IP supportati dal servizio endpoint.

Considerazione

Per consentire al servizio endpoint di accettare richieste IPv6, i relativi Network Load Balancer devono utilizzare il tipo di indirizzo IP dualstack. Le destinazioni non devono supportare il traffico IPv6. Per ulteriori informazioni, consulta la sezione Tipo di indirizzo IP nella Guida per l'utente di Network Load Balancer.

Per modificare i tipi di indirizzi IP supportati mediante la console

1. Accedere alla console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc/.

2. Nel pannello di navigazione scegli Endpoint Services (Servizi endpoint).

3. Seleziona il servizio endpoint VPC.

4. Scegli Actions (Operazioni), Modify supported IP address types (Modifica i tipi di indirizzo IP supportati).

5. Per Supported IP address types (Tipi di indirizzo IP supportati), esegui una delle operazioni seguenti:

   • Seleziona IPv4 per consentire al servizio endpoint di accettare richieste IPv4.

   • Seleziona IPv6 per consentire al servizio endpoint di accettare richieste IPv6.

   • Seleziona IPv4 e IPv6 per consentire al servizio endpoint di accettare richieste IPv4 e IPv6.

6. Seleziona Salvataggio delle modifiche.

Per modificare i tipi di indirizzi IP supportati mediante la riga di comando

• modify-vpc-endpoint-service-configurazione ()AWS CLI

• Edit-EC2VpcEndpointServiceConfiguration(Strumenti per Windows PowerShell)

Gestione dei tag

Puoi aggiungere un tag alle risorse per identificarle o classificarle in base alle esigenze dell'organizzazione.

Gestione dei tag per il servizio endpoint tramite la console

1. Accedere alla console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc/.

2. Nel pannello di navigazione scegli Endpoint Services (Servizi endpoint).

3. Seleziona il servizio endpoint VPC.

4. Scegliere Actions (Operazioni), Manage tags (Gestisci tag).

5. Per ogni tag da aggiungere, seleziona Add new tag (Aggiungi nuovo tag) e immetti la chiave e il valore per il tag.

6. Per rimuovere un tag, scegli Remove (Rimuovi) a destra della chiave e del valore del tag.

7. Selezionare Salva.

Gestione dei tag per le connessioni degli endpoint tramite la console

1. Accedere alla console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc/.

2. Nel pannello di navigazione scegli Endpoint Services (Servizi endpoint).

3. Seleziona il servizio dell'endpoint VPC e scegli la scheda Endpoint connections (Connessioni endpoint).

4. Seleziona la connessione all'endpoint, quindi scegli Actions (Operazioni), Manage tags (Gestisci tag).

5. Per ogni tag da aggiungere, seleziona Add new tag (Aggiungi nuovo tag) e immetti la chiave e il valore per il tag.

6. Per rimuovere un tag, scegli Remove (Rimuovi) a destra della chiave e del valore del tag.

7. Selezionare Salva.

Aggiunta di tag per le autorizzazioni del servizio endpoint tramite la console

1. Accedere alla console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc/.

2. Nel pannello di navigazione scegli Endpoint Services (Servizi endpoint).

3. Seleziona il servizio dell'endpoint VPC e sceglie la scheda Allow principals (Consenti principali).

4. Seleziona il principale, quindi scegli Actions (Operazioni), Manage tags (Gestisci tag).

5. Per ogni tag da aggiungere, seleziona Add new tag (Aggiungi nuovo tag) e immetti la chiave e il valore per il tag.

6. Per rimuovere un tag, scegli Remove (Rimuovi) a destra della chiave e del valore del tag.

7. Selezionare Salva.

Per aggiungere e rimuovere i tag utilizzando la riga di comando

• create-tags e delete-tags (AWS CLI)

• New-EC2Tage Remove-EC2Tag(Strumenti per Windows PowerShell)