Usar VPC endpoints da interface do AWS STS - AWS Identity and Access Management

Usar VPC endpoints da interface do AWS STS

Se você usar a Amazon Virtual Private Cloud (Amazon VPC) para hospedar os recursos da AWS, poderá estabelecer uma conexão privada entre a VPC e o AWS STS. Você pode usar essa conexão para habilitar o AWS STS a se comunicar com os seus recursos na VPC sem passar pela Internet pública.

A Amazon VPC é um produto da AWS que pode ser utilizado para iniciar os recursos da AWS em uma rede virtual definida por você. Com a VPC, você tem controle sobre as configurações de rede, como o intervalo de endereços IP, sub-redes, tabelas de rotas e gateways de rede. Para conectar sua VPC ao AWS STS, você define um VPC endpoint de interface para o AWS STS. O endpoint fornece uma conectividade confiável e escalável ao AWS STS sem a necessidade de um gateway da Internet, de uma instância de conversão de endereço de rede (NAT) ou de uma conexão VPN. Para obter mais informações, consulte O que é o Amazon VPC? no Guia do usuário do Amazon VPC.

Os VPC endpoints de interface são desenvolvidos pelo AWS PrivateLink, uma tecnologia da AWS permite a comunicação privada entre os serviços da AWS usando uma interface de rede elástica com endereços IP privados. Para obter mais informações, consulte AWS PrivateLink para produtos da AWS.

As etapas a seguir são para usuários da Amazon VPC. Para obter mais informações, consulte Conceitos básicos do Amazon VPC no Guia do usuário do Amazon VPC.

Disponibilidade

No momento, o AWS STS oferece suporte a VPC endpoints nas seguintes regiões:

  • Leste dos EUA (Ohio)

  • Leste dos EUA (N. da Virgínia)

  • Oeste dos EUA (N. da Califórnia)

  • Oeste dos EUA (Oregon)

  • África (Cidade do Cabo)

  • Ásia-Pacífico (Hong Kong)

  • Ásia-Pacífico (Mumbai)

  • Asia Pacific (Osaka)

  • Ásia-Pacífico (Seul)

  • Ásia-Pacífico (Singapura)

  • Ásia-Pacífico (Sydney)

  • Ásia-Pacífico (Tóquio)

  • Canadá (Central)

  • China (Pequim)

  • China (Ningxia)

  • Europa (Frankfurt)

  • Europa (Irlanda)

  • Europa (Londres)

  • Europa (Milão)

  • Europa (Paris)

  • Europa (Estocolmo)

  • Oriente Médio (Bahrein)

  • South America (São Paulo)

  • AWS GovCloud (Leste dos EUA)

  • AWS GovCloud (Oeste dos EUA)

Criar um VPC endpoint para o AWS STS

Para começar a usar o AWS STS com sua VPC, crie um VPC endpoint de interface para o AWS STS. Para obter mais informações, consulte Criar um endpoint de interface no Guia do usuário da Amazon VPC.

Depois de criar o VPC endpoint, você deve usar o endpoint regional correspondente para enviar suas solicitações do AWS STS. O AWS STS recomenda que você use ambos os métodos setEndpoint e setRegion para fazer chamadas para um endpoint regional. Você pode usar o método setRegion sozinho para regiões habilitadas manualmente, como Ásia-Pacífico (Hong Kong). Nesse caso, as chamadas são direcionadas para o endpoint regional do STS. Para saber como habilitar manualmente uma região, consulte Gerenciar regiões da AWS na Referência geral da AWS. Se você usar o método setRegion sozinho para regiões habilitadas por padrão, as chamadas são direcionadas para o endpoint global de https://sts.amazonaws.com.

Quando você usa endpoints regionais, o AWS STS chama outros serviços da AWS usando VPC endpoints públicos ou privados de interface, o que estiver em uso. Por exemplo, suponha que você tenha criado uma interface VPC endpoint para o AWS STS e já solicitou as credenciais temporárias do AWS STS de recursos que estão localizados na VPC. Nesse caso, essas credenciais começam fluindo por meio da interface VPC endpoint por padrão. Para obter mais informações sobre como fazer solicitações regionais usando o AWS STS, consulte Gerenciar o AWS STS em uma região da AWS.