Criação de uma notificação do SNS Adição de uma política de acesso Adição de uma política de chave

Receber alertas para eventos de endpoint da interface

Você pode criar uma notificação para receber alertas de eventos específicos relacionados ao endpoint da interface. Por exemplo, é possível receber um e-mail quando uma solicitação de conexão é aceita ou rejeitada.

Use o procedimento a seguir para criar um tópico do Amazon SNS para as notificações e se inscrever nele.

Para criar uma notificação para um endpoint da interface usando o console

Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.
No painel de navegação, escolha Endpoints.
Selecione o endpoint da interface.
Na guia Notifications (Notificações), selecione Create notification (Criar notificação).
Em Notification ARN (ARN da notificação), escolha o ARN para o tópico do SNS que você criou.
Para assinar um evento, selecione-o em Events (Eventos).
- Connect (Conectar): o consumidor do serviço criou o endpoint da interface. Isso envia uma solicitação de conexão ao provedor de serviços.
- Accept (Aceitar): o provedor de serviços aceitou a solicitação de conexão.
- Reject (Rejeitar): o provedor de serviços rejeitou a solicitação de conexão.
- Delete (Excluir): o consumidor do serviço excluiu o endpoint da interface.
Escolha Create Notification (Criar notificação).

Para criar uma notificação para um endpoint da interface usando a linha de comando

create-vpc-endpoint-connection-notification (AWS CLI)
New-EC2VpcEndpointConnectionNotification (ferramentas para Windows PowerShell)

Adição de uma política de acesso

Adicione uma política de acesso ao tópico do Amazon SNS que permita que o AWS PrivateLink publique notificações em seu nome, como as apresentadas a seguir. Para obter mais informações, consulte: Como edito a política de acesso do meu tópico do Amazon SNS? Use as chaves de condição globais aws:SourceArn e aws:SourceAccount para se proteger contra o problema confused deputy.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "vpce.amazonaws.com"
      },
      "Action": "SNS:Publish",
      "Resource": "arn:aws:sns:region:account-id:topic-name",
      "Condition": {
        "ArnLike": {
          "aws:SourceArn": "arn:aws:ec2:region:account-id:vpc-endpoint/endpoint-id"
        },
        "StringEquals": {
          "aws:SourceAccount": "account-id"
        }
      }
    }
  ]
}

Adição de uma política de chave

Se você estiver usando tópicos do SNS criptografados, a política de recursos para a chave do KMS deve ter confiança no AWS PrivateLink para chamar operações de API do AWS KMS. Veja a seguir um exemplo de política de chave.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "vpce.amazonaws.com"
      },
      "Action": [
        "kms:GenerateDataKey*",
        "kms:Decrypt"
      ],
      "Resource": "arn:aws:kms:region:account-id:key/key-id",
      "Condition": {
        "ArnLike": {
          "aws:SourceArn": "arn:aws:ec2:region:account-id:vpc-endpoint/endpoint-id"
        },
        "StringEquals": {
          "aws:SourceAccount": "account-id"
        }
      }
    }
  ]
}

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Configurar um endpoint da interface

Excluir um endpoint de interface