本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用介面 VPC 端點存取 Amazon EC2
您可以在 VPC 和 Amazon EC2 之間建立私有連線,藉此改善 VPC 的安全狀態。您可以像在 VPC 中一樣存取 Amazon EC2,而無需使用網際網路閘道、NAT 裝置、VPN 連線或 AWS Direct Connect 連線。VPC 中的執行個體無需公有 IP 地址,即可存取 Amazon EC2。
如需詳細資訊,請參閱AWS PrivateLink 指南 AWS PrivateLink中的 AWS 服務 透過存取。
建立介面 VPC 端點
使用以下服務名稱為 Amazon EC2 建立介面端點:
-
com.amazonaws.
region.ec2 – 為 Amazon EC2 API 動作建立端點。
如需詳細資訊,請參閱AWS PrivateLink 指南中的 AWS 服務 使用介面 VPC 端點存取。
建立端點政策
端點政策為 IAM 資源,您可將其連接至您的介面端點。預設端點政策可允許透過介面端點完整存取 Amazon EC2 API。若要控制 VPC 對 Amazon EC2 API 的存取權限,請將自訂端點政策連接至介面端點。
端點政策會指定以下資訊:
-
可執行動作的主體。
-
可執行的動作。
-
可供執行動作的資源。
重要
將非預設政策套用至 Amazon EC2 的界面 VPC 端點時,某些失敗的 API 請求 (例如失敗者) 可能不會記錄到 Amazon AWS CloudTrail 或 Amazon。RequestLimitExceeded CloudWatch
如需詳細資訊,請參閱《AWS PrivateLink 指南》中的使用端點政策控制對服務的存取。
下列範例顯示 VPC 端點政策,該政策拒絕建立未加密磁碟區或啟動具有未加密磁碟區之執行個體的許可。範例政策也會授與執行所有其他 Amazon EC2 動作的許可。
{ "Version": "2012-10-17", "Statement": [ { "Action": "ec2:*", "Effect": "Allow", "Resource": "*", "Principal": "*" }, { "Action": [ "ec2:CreateVolume" ], "Effect": "Deny", "Resource": "*", "Principal": "*", "Condition": { "Bool": { "ec2:Encrypted": "false" } } }, { "Action": [ "ec2:RunInstances" ], "Effect": "Deny", "Resource": "*", "Principal": "*", "Condition": { "Bool": { "ec2:Encrypted": "false" } } }] }
