Configurar um VPC endpoint para o Elastic Beanstalk Configurar um VPC endpoint para integridade avançada Usar VPC endpoints em uma VPC privada Usar políticas de endpoint para controlar o acesso com VPC endpoints

Usar o Elastic Beanstalk com VPC endpoints

Um VPC endpoint permite conectar de forma privada sua VPC aos serviços compatíveis da AWS e aos serviços de VPC endpoint habilitados pelo AWS PrivateLink, sem exigir um gateway da Internet, um dispositivo NAT, uma conexão VPN ou uma conexão do AWS Direct Connect.

As instâncias na sua VPC não exigem que endereços IP públicos se comuniquem com recursos no serviço. O tráfego entre a sua VPC e os outros serviços não sai da rede da Amazon. Para obter mais informações sobre VPC endpoints, consulte VPC endpoints no Guia do usuário da Amazon VPC.

O AWS Elastic Beanstalk oferece suporte ao AWS PrivateLink, que fornece conectividade privada ao serviço do Elastic Beanstalk e elimina a exposição do tráfego à Internet pública. Para habilitar que a aplicação envie solicitações para o Elastic Beanstalk usando o AWS PrivateLink, configure um tipo de VPC endpoint conhecido como endpoint da VPC de interface (endpoint de interface). Para obter mais informações, consulte Endpoints da VPC da interface (AWS PrivateLink) no Guia do usuário da Amazon VPC.

nota

O AWS PrivateLink oferece suporte ao Elastic Beanstalk e endpoints da VPC de interface em um número limitado de regiões da AWS. Estamos trabalhando para estender o suporte a mais regiões da AWS no futuro próximo.

Configurar um VPC endpoint para o Elastic Beanstalk

Para criar o VPC endpoint de interface para o serviço do Elastic Beanstalk na VPC, siga o procedimento Criar um endpoint de interface. Em Service Name (Nome do serviço), escolha com.amazonaws.region.elasticbeanstalk.

Se a VPC estiver configurada com acesso público à Internet, a aplicação ainda poderá acessar o Elastic Beanstalk pela Internet usando o endpoint público elasticbeanstalk.region.amazonaws.com. É possível impedir isso habilitando Enable DNS name (Habilitar nome DNS) durante a criação do endpoint (true por padrão). Isso adiciona uma entrada DNS em sua VPC, que mapeia o endpoint público de serviço para o VPC endpoint de interface.

Configurar um VPC endpoint para integridade avançada

Se você habilitou os relatórios de integridade avançada para seu ambiente, será possível configurar as informações de integridade avançada para serem enviadas pelo AWS PrivateLink também. As informações de integridade aprimorada são enviadas pelo daemon healthd, um componente do Elastic Beanstalk nas instâncias do seu ambiente, para um serviço de integridade aprimorada separado do Elastic Beanstalk. Para criar um VPC endpoint de interface para esse serviço na VPC, siga o procedimento Criar um endpoint de interface. Em Service Name (Nome do serviço), escolha com.amazonaws.region.elasticbeanstalk-health.

Importante

O daemon healthd envia informações de integridade avançada para o endpoint público, elasticbeanstalk-health.region.amazonaws.com. Se a VPC estiver configurada com acesso público à Internet e Enable DNS name (Habilitar nome DNS) estiver desabilitado para o VPC endpoint, as informações de integridade avançada serão enviadas pela Internet pública. Isso provavelmente não é sua intenção ao configurar um VPC endpoint de integridade avançada. Certifique-se de que Enable DNS name (Habilitar nome DNS) esteja habilitado (true por padrão).

Usar VPC endpoints em uma VPC privada

Uma VPC privada ou uma sub-rede privada em uma VPC não tem acesso público à Internet. Convém executar o ambiente do Elastic Beanstalk em uma VPC privada e configurar VPC endpoints de interface para segurança aprimorada. Nesse caso, lembre-se de que o ambiente pode tentar se conectar à Internet por outros motivos, além de entrar em contato com o serviço do Elastic Beanstalk. Para saber mais sobre como executar um ambiente em uma VPC privada, consulte Executar um ambiente do Elastic Beanstalk em uma VPC privada.

Usar políticas de endpoint para controlar o acesso com VPC endpoints

Por padrão, um VPC endpoint permite acesso total ao serviço ao qual está associado. Ao criar ou modificar um endpoint, é possível anexar uma política de endpoint a ele.

Uma política de endpoint é uma política de recurso do AWS Identity and Access Management (IAM) que controla o acesso do endpoint ao serviço especificado. A política de endpoint é específica ao endpoint. Ela é separada de outras políticas do IAM de usuário ou instância que seu ambiente possa ter e não as substitui. Para obter detalhes sobre como criar e usar políticas de VPC endpoint, consulte Controlar o acesso aos serviços com VPC endpoints no Guia do usuário da Amazon VPC.

O exemplo a seguir nega a todos os usuários a permissão para encerrar um ambiente por meio do VPC endpoint e permite acesso total a todas as outras ações.


{
    "Statement": [
        {
            "Action": "*",
            "Effect": "Allow",
            "Resource": "*",
            "Principal": "*"
        },
        {
            "Action": "elasticbeanstalk:TerminateEnvironment",
            "Effect": "Deny",
            "Resource": "*",
            "Principal": "*"
        }
    ]
}

nota

No momento, somente o serviço do Elastic Beanstalk principal oferece suporte para anexar uma política de endpoint ao VPC endpoint. O serviço de integridade avançada não oferece suporte a políticas de endpoint.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Amazon RDS

Configurar a máquina de desenvolvimento