Zugreifen auf Amazon EC2 über einen Schnittstellen-VPC-Endpunkt - Amazon Elastic Compute Cloud
Erstellen eines Schnittstellen-VPC-EndpunktsErstellen einer Endpunktrichtlinie

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Zugreifen auf Amazon EC2 über einen Schnittstellen-VPC-Endpunkt

Sie können den Sicherheitszustand Ihrer VPC erhöhen, indem Sie eine private Verbindung zwischen den Ressourcen in Ihrer VPC und der Amazon-EC2-API herstellen. Sie können auf die Amazon EC2 EC2-API zugreifen, als wäre sie in Ihrer VPC, ohne ein Internet-Gateway, ein NAT-Gerät, eine VPN-Verbindung oder Direct Connect eine Verbindung verwenden zu müssen. EC2-Instances in Ihrer VPC benötigen für den Zugriff auf die Amazon-EC2-API keine öffentlichen IP-Adressen.

Weitere Informationen finden Sie AWS PrivateLink im Leitfaden unter Zugriff AWS-Services durch.AWS PrivateLink

Erstellen eines Schnittstellen-VPC-Endpunkts

Erstellen Sie einen Schnittstellen-Endpunkt für Amazon EC2 mit dem folgenden Service-Namen:

  • com.amazonaws. region.ec2 — Erzeugt einen Endpunkt für die Amazon EC2 EC2-API-Aktionen.

Weitere Informationen finden Sie im AWS PrivateLink Handbuch unter Zugreifen und AWS-Service Verwenden eines Schnittstellen-VPC-Endpunkts.

Erstellen einer Endpunktrichtlinie

Eine Endpunktrichtlinie ist eine IAM-Ressource, die Sie Ihrem Schnittstellen-Endpunkt anfügen können. Die Standard-Endpunktrichtlinie ermöglicht den vollständigen Zugriff auf die Amazon-EC2-API über den Schnittstellen-Endpunkt. Um den Zugriff auf die Amazon-EC2-API von Ihrer VPC aus zu steuern, fügen Sie eine benutzerdefinierte Endpunktrichtlinie an den Endpunkt der Schnittstelle an.

Eine Endpunktrichtlinie gibt die folgenden Informationen an:

  • Die Prinzipale, die Aktionen ausführen können.

  • Die Aktionen, die ausgeführt werden können.

  • Die Ressource, auf der die Aktionen ausgeführt werden können.

Wichtig

Wenn eine nicht standardmäßige Richtlinie auf einen VPC-Schnittstellen-Endpunkt für Amazon EC2 angewendet wird, werden bestimmte fehlgeschlagene API-Anfragen, z. B. solche, die von fehlschlagenRequestLimitExceeded, möglicherweise nicht bei Amazon protokolliert. AWS CloudTrail CloudWatch

Weitere Informationen finden Sie unter Steuern des Zugriffs auf Services mit Endpunktrichtlinien im AWS PrivateLink -Leitfaden.

Das folgende Beispiel zeigt eine VPC-Endpunktrichtlinie, die die Berechtigung zum Erstellen unverschlüsselter Volumes oder zum Starten von Instances mit unverschlüsselten Volumes ablehnt. Die Beispielrichtlinie gewährt auch die Berechtigung, alle anderen Amazon EC2-Aktionen auszuführen.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
    {
        "Action": "ec2:*",
        "Effect": "Allow",
        "Resource": "*",
        "Principal": "*"
    },
    {
        "Action": [
            "ec2:CreateVolume"
        ],
        "Effect": "Deny",
        "Resource": "*",
        "Principal": "*",
        "Condition": {
            "Bool": {
                "ec2:Encrypted": "false"
            }
        }
    },
    {
        "Action": [
            "ec2:RunInstances"
        ],
        "Effect": "Deny",
        "Resource": "*",
        "Principal": "*",
        "Condition": {
            "Bool": {
                "ec2:Encrypted": "false"
            }
        }
    }]
}