Acesse e AWS service (Serviço da AWS) use uma interface VPC endpoint - Amazon Virtual Private Cloud
Pré-requisitosCriar um VPC endpointSub-redes compartilhadasICMP

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Acesse e AWS service (Serviço da AWS) use uma interface VPC endpoint

Você pode criar uma interface VPC endpoint para se conectar a serviços fornecidos por AWS PrivateLink, incluindo muitos. Serviços da AWS Para obter uma visão geral, consulte AWS PrivateLink conceitos e Acesse Serviços da AWS através de AWS PrivateLink.

Para cada sub-rede que você especifica em sua VPC, criamos uma interface de rede de endpoint na sub-rede e atribuímos a ela um endereço IP privado do intervalo de endereços da sub-rede. Uma interface de rede do endpoint é uma interface de rede gerenciada pelo solicitante; você pode visualizá-la em sua Conta da AWS, mas não pode gerenciá-la sozinho.

Você é cobrado pelas tarifas de uso por hora e processamento de dados. Para obter mais informações, consulte Preço do endpoint da interface.

Pré-requisitos

  • Implante os recursos que acessarão o AWS service (Serviço da AWS) em sua VPC.

  • Para usar DNS privado, é necessário habilitar os nomes de host DNS e a resolução de DNS da VPC. Para mais informações, consulte Visualizar e atualizar atributos DNS para sua VPC no Manual do usuário da Amazon VPC.

  • IPv6 Para habilitar um endpoint de interface, eles AWS service (Serviço da AWS) devem oferecer suporte ao IPv6 acesso. Para obter mais informações, consulte Tipos de endereço IP.

  • Crie um grupo de segurança para a interface de rede do endpoint que permita o tráfego esperado dos recursos em sua VPC. Por exemplo, para garantir que eles AWS CLI possam enviar solicitações HTTPS para o AWS service (Serviço da AWS), o grupo de segurança deve permitir tráfego HTTPS de entrada.

  • Se os recursos estiverem em uma sub-rede com uma ACL de rede, verifique se a ACL de rede permite tráfego entre os recursos na sua VPC e as interfaces de rede do endpoint.

  • Há cotas em seus AWS PrivateLink recursos. Para obter mais informações, consulte AWS PrivateLink cotas.

Criar um VPC endpoint

Use o seguinte procedimento para criar um endpoint da VPC de interface que se conecta a um AWS service (Serviço da AWS).

Para criar um endpoint de interface para um AWS service (Serviço da AWS)

  1. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.

  2. No painel de navegação, escolha Endpoints.

  3. Escolha Criar endpoint.

  4. Em Tipo, escolha AWS serviços.

  5. Em Service name (Nome do serviço), selecione o serviço. Para obter mais informações, consulte Serviços da AWS que se integram com AWS PrivateLink.

  6. Em VPC, selecione a VPC de onde você acessará o AWS service (Serviço da AWS).

  7. Se, na Etapa 5, você selecionou o nome do serviço para o Amazon S3 e deseja configurar o suporte a DNS privado, selecione Configurações adicionais e, em seguida, Habilitar nome de DNS. Quando essa seleção é feita, a opção Habilitar DNS privado somente para endpoint de entrada é selecionada automaticamente. É possível configurar o DNS privado com um endpoint do Resolver de entrada somente para endpoints de interface do Amazon S3. Se você não tiver um endpoint de gateway para o Amazon S3 e selecionar Habilitar DNS privado somente para endpoint de entrada, você receberá um erro ao tentar executar a etapa final desse procedimento.

    Se, na Etapa 5, você selecionou o nome do serviço para qualquer serviço diferente do Amazon S3, a opção Configurações adicionais, Habilitar nome de DNS já está selecionada. Recomendamos que você mantenha o valor padrão. Isso garante que as solicitações que usam os endpoints de serviço público, como solicitações feitas por meio de um AWS SDK, cheguem ao seu VPC endpoint.

  8. Em Sub-redes, selecione as sub-redes nas quais criar interfaces de rede de endpoint. Você pode selecionar uma sub-rede por zona de disponibilidade. Não é possível selecionar várias sub-redes em uma mesma zona de disponibilidade. Para obter mais informações, consulte Zonas de disponibilidade e sub-redes.

    Por padrão, selecionamos endereços IP dos intervalos de endereços IP da sub-rede e os atribuímos às interfaces de rede do endpoint. Para escolher você mesmo os endereços IP, selecione Designar endereços IP. Observe que os quatro primeiros endereços IP e o último endereço IP em um bloco CIDR de sub-rede são reservados para uso interno, portanto, você não pode especificá-los para as interfaces de rede de endpoint.

  9. Em IP address type (Tipo de endereço IP), escolha uma das seguintes opções:

    • IPv4— Atribua IPv4 endereços às interfaces de rede do endpoint. Essa opção é suportada somente se todas as sub-redes selecionadas tiverem intervalos de IPv4 endereços e o serviço aceitar IPv4 solicitações.

    • IPv6— Atribua IPv6 endereços às interfaces de rede do endpoint. Essa opção é suportada somente se todas as sub-redes selecionadas forem IPv6 somente sub-redes e o serviço aceitar solicitações. IPv6

    • Dualstack — atribua IPv6 endereços IPv4 e endereços às interfaces de rede do endpoint. Essa opção é suportada somente se todas as sub-redes selecionadas tiverem intervalos de IPv6 endereços IPv4 e o serviço aceitar ambas as solicitações IPv4 . IPv6

  10. Em Grupos de segurança, selecione os grupos de segurança para associar às interfaces de rede do endpoint. Por padrão, associamos o grupo de segurança padrão para a VPC.

  11. Em Política, para permitir todas as operações de todos os diretores em todos os recursos no endpoint da interface, selecione Acesso total. Para restringir o acesso, selecione Personalizado e insira uma política. Essa opção ficará disponível somente se o serviço for compatível com as políticas de endpoint da VPC. Para obter mais informações, consulte Políticas de endpoint.

  12. (Opcional) Para adicionar uma tag, escolha Adicionar nova tag e insira a chave e o valor da tag.

  13. Escolha Criar endpoint.

Para criar um endpoint da interface usando a linha de comando

Sub-redes compartilhadas

Você não pode criar, descrever, modificar ou excluir endpoints da VPC em sub-redes que são compartilhadas com você. No entanto, você pode usar os endpoints da VPC em sub-redes que são compartilhadas com você.

ICMP

Os endpoints da interface não respondem às solicitações ping. Em vez disso, você pode usar os comandos nc ou nmap.