本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
云控制API和接口VPC端点 (AWS PrivateLink)
您可以在虚拟私有云 (VPC) 和 AWS Cloud Control API 通过创建接口VPC终端节点来建立私有连接。接口端点由一项技术提供支持 AWS PrivateLink
每个接口端点均由子网中的一个或多个弹性网络接口表示。
有关更多信息,请参阅 Amazon VPC 用户指南中的使用接口VPC终端节点访问 AWS 服务。
云控制APIVPC端点的注意事项
在为 Cloud Control API 设置接口VPC终端节点之前,请务必查看亚马逊VPC用户指南中的先决条件。
Cloud Control API 支持从您调用其所有API操作VPC。
为云控制创建接口VPC端点 API
您可以使用 Amazon 控制台或 AWS Command Line Interface (AWS CLI) 为云VPC控制API服务创建VPC终端节点。有关更多信息,请参阅 Amazon VPC 用户指南中的创建VPC终端节点。
API使用以下服务名称为 Cloud Control 创建VPC终端节点:
-
com.amazonaws。
region
.cloudcontro
如果您DNS为终端节点启用私有功能,则可以使用该区域的默认DNS名称向 Cloud Control API API 发出请求,例如,cloudcontrolapi.us-east-1.amazonaws.com
。
有关更多信息,请参阅 Amazon VPC 用户指南中的使用接口VPC终端节点访问 AWS 服务。
为云控制创建VPC终端节点策略 API
您可以将终端节点策略附加到控制对 Cloud Control 的访问权限的VPC终端节点API。该策略指定以下信息:
-
可执行操作的主体。
-
可执行的操作。
-
可对其执行操作的资源。
有关更多信息,请参阅 Amazon VPC 用户指南中的使用VPC终端节点控制对服务的访问。
重要
VPCE端点策略详细信息不会传递给 Cloud Control 调用的任何下游服务API进行评估。因此,未强制执行指定属于下游服务的操作或资源的策略。
例如,假设您在一个EC2实例中创建了一个 Amazon 实例,该VPC实例的VPC终端节点位于无法访问互联网的子网API中。接下来,您将以下VPC终端节点策略附加到VPCE:
{ "Statement": [ { "Action": [ "cloudformation:*", "ec2:*", "lambda:*" ] "Effect": "Allow", "Principal": "*", "Resource": "*" } ] }
如果具有管理员权限的用户随后发送访问该实例中的 Amazon S3 存储桶的请求,即使VPCE策略中未授予 Amazon S3 访问权限,也不会返回任何服务错误。
示例:云控制API操作的VPC端点策略
以下是 Cloud Control 的终端节点策略示例API。连接到终端节点后,此策略向所有资源的所有委托人授予访问列出的 Cloud Control API 操作的权限。以下示例拒绝所有用户通过VPC终端节点创建资源的权限,并允许对 Cloud Control API 服务上的所有其他操作进行完全访问权限。
{ "Statement": [ { "Action": "cloudformation:*", "Effect": "Allow", "Principal": "*", "Resource": "*" }, { "Action": "cloudformation:CreateResource", "Effect": "Deny", "Principal": "*", "Resource": "*" } ] }