使用接口 VPC 终端节点访问 Amazon EC2 - Amazon Elastic Compute Cloud
创建接口 VPC 终端节点创建端点策略
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

使用接口 VPC 终端节点访问 Amazon EC2

您可以通过在 VPC 和 Amazon EC2 之间创建私有连接,以改善 VPC 的安保状况。您可以像在 VPC 中一样访问 Amazon EC2,而无需使用互联网网关、NAT 设备、VPN 连接或 Amazon Direct Connect 连接。VPC 中的实例不需要公有 IP 地址即可访问 Amazon EC2。

有关更多信息,请参阅 Amazon PrivateLink 指南中的通过 Amazon PrivateLink 访问 Amazon Web Services

创建接口 VPC 终端节点

使用以下服务名称为 Amazon EC2 创建接口终端节点:

  • com.amazonaws.region.ec2 - 为 Amazon EC2 API 操作创建终端节点。

有关更多信息,请参阅 Amazon PrivateLink 指南中的使用接口 VPC 终端节点访问 Amazon Web Service

创建端点策略

端点策略是一种 IAM 资源,您可以将其附加到接口终端节点。默认端点策略允许通过接口终端节点访问 Amazon EC2 API 的完全权限。要控制允许从 VPC 访问 Amazon EC2 API 的权限,请将自定义端点策略附加到接口终端节点。

端点策略指定以下信息:

  • 可以执行操作的主体。

  • 可执行的操作。

  • 可对其执行操作的资源。

重要

当将非默认策略应用于 Amazon EC2 的接口 VPC 终端节点时,某些失败的 API 请求(例如 RequestLimitExceeded 中失败的请求)可能不会记录到 Amazon CloudTrail 或 Amazon CloudWatch。

有关更多信息,请参阅 Amazon PrivateLink 指南中的使用端点策略控制对服务的访问权限

以下示例显示一个 VPC 终端节点策略,该策略拒绝创建未加密的卷或启动具有未加密卷的实例的权限。示例策略还授予执行所有其他 Amazon EC2 操作的权限。

{
    "Version": "2012-10-17",
    "Statement": [
    {
        "Action": "ec2:*",
        "Effect": "Allow",
        "Resource": "*",
        "Principal": "*"
    },
    {
        "Action": [
            "ec2:CreateVolume"
        ],
        "Effect": "Deny",
        "Resource": "*",
        "Principal": "*",
        "Condition": {
            "Bool": {
                "ec2:Encrypted": "false"
            }
        }
    },
    {
        "Action": [
            "ec2:RunInstances"
        ],
        "Effect": "Deny",
        "Resource": "*",
        "Principal": "*",
        "Condition": {
            "Bool": {
                "ec2:Encrypted": "false"
            }
        }
    }]
}