EC2使用界面VPC端點訪問 Amazon - Amazon Elastic Compute Cloud
建立介面VPC端點建立端點政策

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

EC2使用界面VPC端點訪問 Amazon

您可以通過在您VPC和 Amazon 之間創VPC建私有連接來改善您的安全狀態EC2。您可以像在您的 Amazon 一EC2樣訪問亞馬遜VPC,而無需使用互聯網網關,NAT設備,VPN連接或 AWS Direct Connect 連接。您中的執行個體VPC不需要公有 IP 地址即可存取 Amazon EC2。

如需詳細資訊,請參AWS PrivateLink 指南 AWS PrivateLink中的 AWS 服務 透過存取

建立介面VPC端點

使用下列服務名稱為 Amazon EC2 建立介面端點:

  • COM. 亞馬遜。region.ec2 — 為 Amazon 行EC2API動創建端點。

如需詳細資訊,請參AWS PrivateLink 指南中的 AWS 服務 使用介面VPC端點存取。

建立端點政策

端點策略是您可以附加到接口端點的IAM資源。預設端點政策允許EC2API透過界面端點完全存取 Amazon。若要控制允許EC2API從您的 Amazon 存取VPC,請將自訂端點政策附加到介面端點。

端點政策會指定以下資訊:

  • 可執行動作的主體。

  • 可執行的動作。

  • 可供執行動作的資源。

重要

將非預設政策套用至 Amazon 的介面VPC端點時EC2,某些失敗的API請求 (例如失敗的請求) 可能不會記錄到 AWS CloudTrail 或 Amazon CloudWatch。RequestLimitExceeded

如需詳細資訊,請參閱《AWS PrivateLink 指南》中的使用端點政策控制對服務的存取

下列範例顯示的VPC端點政策會拒絕建立未加密磁碟區或啟動具有未加密磁碟區的執行個體的權限。範例政策也授予執行所有其他 Amazon EC2 動作的權限。

{
    "Version": "2012-10-17",
    "Statement": [
    {
        "Action": "ec2:*",
        "Effect": "Allow",
        "Resource": "*",
        "Principal": "*"
    },
    {
        "Action": [
            "ec2:CreateVolume"
        ],
        "Effect": "Deny",
        "Resource": "*",
        "Principal": "*",
        "Condition": {
            "Bool": {
                "ec2:Encrypted": "false"
            }
        }
    },
    {
        "Action": [
            "ec2:RunInstances"
        ],
        "Effect": "Deny",
        "Resource": "*",
        "Principal": "*",
        "Condition": {
            "Bool": {
                "ec2:Encrypted": "false"
            }
        }
    }]
}