Amazon EC2 和接口 VPC 终端节点 - Amazon Elastic Compute Cloud
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

Amazon EC2 和接口 VPC 终端节点

您可以将 Amazon EC2 配置为使用接口 VPC 终端节点以改善 VPC 的安全状况。接口终端节点由 AWS PrivateLink 提供支持,您可以使用该技术,通过限制您的 VPC 和 Amazon EC2 之间的所有网络流量到达 Amazon 网络来秘密访问 Amazon EC2 API。借助接口终端节点,您也不需要 Internet 网关、NAT 设备或虚拟专用网关。

不要求您配置 AWS PrivateLink,但推荐进行配置。有关 AWS PrivateLink 和 VPC 终端节点的更多信息,请参阅接口 VPC 终端节点 (AWS PrivateLink)

创建接口 VPC 终端节点

使用以下服务名称为 Amazon EC2 创建终端节点:

  • com.amazonaws.region.ec2 — 为 Amazon EC2 API 操作创建终端节点。

有关更多信息,请参阅 Amazon VPC 用户指南 中的创建接口终端节点

创建接口 VPC 终端节点策略

您可以向 VPC 终端节点附加策略来控制对 Amazon EC2 API 的访问。该策略指定:

  • 可执行操作的委托人。

  • 可执行的操作。

  • 可对其执行操作的资源。

重要

当将非默认策略应用于 Amazon EC2 的接口 VPC 终端节点时,某些失败的 API 请求(例如 RequestLimitExceeded 中失败的请求)可能不会记录到 AWS CloudTrail 或 Amazon CloudWatch。

有关更多信息,请参阅 Amazon VPC 用户指南 中的使用 VPC 终端节点控制对服务的访问

以下示例显示一个 VPC 终端节点策略,该策略拒绝创建未加密的卷或启动具有未加密卷的实例的权限。示例策略还授予执行所有其他 Amazon EC2 操作的权限。

{ "Version": "2012-10-17", "Statement": [ { "Action": "ec2:*", "Effect": "Allow", "Resource": "*" }, { "Action": [ "ec2:CreateVolume" ], "Effect": "Deny", "Resource": "*", "Condition": { "Bool": { "ec2:Encrypted": "false" } } }, { "Action": [ "ec2:RunInstances" ], "Effect": "Deny", "Resource": "*", "Condition": { "Bool": { "ec2:Encrypted": "false" } } }] }