Amazon EC2 和接口 VPC 终端节点 - Amazon Elastic Compute Cloud
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

Amazon EC2 和接口 VPC 终端节点

您可以将 Amazon EC2 配置为使用接口 VPC 终端节点以改善 VPC 的安全状况。接口终端节点由 Amazon PrivateLink 提供支持,您可以使用该技术,通过限制您的 VPC 和 Amazon EC2 之间的所有网络流量到达 Amazon 网络来秘密访问 Amazon EC2 API。借助接口终端节点,您也不需要 Internet 网关、NAT 设备或虚拟专用网关。

不要求您配置 Amazon PrivateLink ,但推荐进行配置。有关 Amazon PrivateLink 和 VPC 终端节点的更多信息,请参阅接口 VPC 终端节点 ( Amazon PrivateLink )

创建接口 VPC 终端节点

使用以下服务名称为 Amazon EC2 创建终端节点:

  • com.amazonaws.region.ec2 — 为 Amazon EC2 API 操作创建终端节点。

有关更多信息,请参阅 Amazon VPC 用户指南中的创建接口终端节点

创建接口 VPC 终端节点策略

您可以向 VPC 终端节点附加策略来控制对 Amazon EC2 API 的访问。该策略指定:

  • 可执行操作的委托人。

  • 可执行的操作。

  • 可对其执行操作的资源。

重要

当将非默认策略应用于 Amazon EC2 的接口 VPC 终端节点时,某些失败的 API 请求(例如 RequestLimitExceeded 中失败的请求)可能不会记录到 Amazon CloudTrail 或 Amazon CloudWatch。

有关更多信息,请参阅 Amazon VPC 用户指南中的使用 VPC 终端节点控制对服务的访问

以下示例显示一个 VPC 终端节点策略,该策略拒绝创建未加密的卷或启动具有未加密卷的实例的权限。示例策略还授予执行所有其他 Amazon EC2 操作的权限。

{ "Version": "2012-10-17", "Statement": [ { "Action": "ec2:*", "Effect": "Allow", "Resource": "*", "Principal": "*" }, { "Action": [ "ec2:CreateVolume" ], "Effect": "Deny", "Resource": "*", "Principal": "*", "Condition": { "Bool": { "ec2:Encrypted": "false" } } }, { "Action": [ "ec2:RunInstances" ], "Effect": "Deny", "Resource": "*", "Principal": "*", "Condition": { "Bool": { "ec2:Encrypted": "false" } } }] }