Accéder à Amazon EC2 à l’aide du point de terminaison d’un VPC d’interface - Amazon Elastic Compute Cloud
Création d’un point de terminaison d’un VPC d’interfaceCréer une politique de point de terminaison

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Accéder à Amazon EC2 à l’aide du point de terminaison d’un VPC d’interface

Vous pouvez améliorer la sécurité de votre VPC en créant une connexion privée entre les ressources de votre VPC et l’API Amazon EC2. Vous pouvez accéder à l'API Amazon EC2 comme si elle se trouvait dans votre VPC, sans passer par une passerelle Internet, un appareil NAT, une connexion VPN ou une connexion. Direct Connect Les instances EC2 de votre VPC n’ont pas besoin d’adresses IP publiques pour accéder à l’API Amazon EC2.

Pour plus d'informations, consultez la section Accès Services AWS par AWS PrivateLink le biais du AWS PrivateLink guide.

Création d’un point de terminaison d’un VPC d’interface

Création d’un point de terminaison d’interface pour Amazon EC2 à l’aide du nom de service suivant :

  • com.amazonaws. region.ec2 — Crée un point de terminaison pour les actions de l'API Amazon EC2.

Pour plus d'informations, consultez la section Accès et Service AWS utilisation d'un point de terminaison VPC d'interface dans le AWS PrivateLink Guide.

Créer une politique de point de terminaison

Une politique de point de terminaison est une ressource IAM que vous pouvez attacher à votre point de terminaison d’interface. La politique de point de terminaison par défaut autorise un accès complet à l’API Amazon EC2 via le point de terminaison d’interface. Pour contrôler l’accès autorisé à l’API Amazon EC2 depuis votre VPC, attachez une politique de point de terminaison personnalisée au point de terminaison de l’interface.

Une politique de point de terminaison spécifie les informations suivantes :

  • Le mandataire qui peut exécuter des actions.

  • Les actions qui peuvent être effectuées.

  • La ressource sur laquelle les actions peuvent être effectuées.

Important

Lorsqu'une politique autre que celle par défaut est appliquée à un point de terminaison VPC d'interface pour Amazon EC2, certaines demandes d'API ayant échoué, telles que celles RequestLimitExceeded provenant de, peuvent ne pas être connectées à Amazon ou à Amazon. AWS CloudTrail CloudWatch

Pour plus d’informations, consultez Contrôle de l’accès aux services à l’aide de politiques de point de terminaison dans le Guide AWS PrivateLink .

L’exemple suivant illustre une politique de point de terminaison d’un VPC qui refuse l’autorisation de créer des volumes non chiffrés ou de lancer des instances avec des volumes non chiffrés. L’exemple de politique accorde également à tout le monde l’autorisation d’effectuer toutes les autres actions Amazon EC2.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
    {
        "Action": "ec2:*",
        "Effect": "Allow",
        "Resource": "*",
        "Principal": "*"
    },
    {
        "Action": [
            "ec2:CreateVolume"
        ],
        "Effect": "Deny",
        "Resource": "*",
        "Principal": "*",
        "Condition": {
            "Bool": {
                "ec2:Encrypted": "false"
            }
        }
    },
    {
        "Action": [
            "ec2:RunInstances"
        ],
        "Effect": "Deny",
        "Resource": "*",
        "Principal": "*",
        "Condition": {
            "Bool": {
                "ec2:Encrypted": "false"
            }
        }
    }]
}