使用介面 VPC 端點存取 Amazon EC2 - Amazon Elastic Compute Cloud

使用介面 VPC 端點存取 Amazon EC2

您可以在 VPC 和 Amazon EC2 之間建立私有連線,藉此改善 VPC 的安全狀態。您可以如在 VPC 中一樣存取 Amazon EC2,無需使用網際網路閘道、NAT 裝置、VPN 連接或 AWS Direct Connect 連線。VPC 中的執行個體無需公有 IP 地址,即可存取 Amazon EC2。

如需詳細資訊,請參閱《AWS PrivateLink 指南》中的透過 AWS PrivateLink 存取 AWS 服務

建立介面 VPC 端點

使用以下服務名稱為 Amazon EC2 建立介面端點:

  • com.amazonaws.region.ec2 – 為 Amazon EC2 API 動作建立端點。

如需詳細資訊,請參閱《AWS PrivateLink 指南》中的使用介面 VPC 端點存取 AWS 服務

建立端點政策

端點政策為 IAM 資源,您可將其連接至您的介面端點。預設端點政策可允許透過介面端點完整存取 Amazon EC2 API。若要控制 VPC 對 Amazon EC2 API 的存取權限,請將自訂端點政策連接至介面端點。

端點政策會指定以下資訊:

  • 可執行動作的主體。

  • 可執行的動作。

  • 可供執行動作的資源。

重要

當非預設政策套用到 Amazon EC2 的介面 VPC 端點時,某些失敗的 API 請求 (例如來自 RequestLimitExceeded 失敗的請求),可能無法記錄到 AWS CloudTrail 或 Amazon CloudWatch。

如需詳細資訊,請參閱《AWS PrivateLink 指南》中的使用端點政策控制對服務的存取

下列範例顯示 VPC 端點政策,該政策拒絕建立未加密磁碟區或啟動具有未加密磁碟區之執行個體的許可。範例政策也會授與執行所有其他 Amazon EC2 動作的許可。

{ "Version": "2012-10-17", "Statement": [ { "Action": "ec2:*", "Effect": "Allow", "Resource": "*", "Principal": "*" }, { "Action": [ "ec2:CreateVolume" ], "Effect": "Deny", "Resource": "*", "Principal": "*", "Condition": { "Bool": { "ec2:Encrypted": "false" } } }, { "Action": [ "ec2:RunInstances" ], "Effect": "Deny", "Resource": "*", "Principal": "*", "Condition": { "Bool": { "ec2:Encrypted": "false" } } }] }