EC2 Image Builder 和接口 VPC 终端节点 (AWS PrivateLink) - EC2 映像生成器
关于 Image Builder VPC 终端节点的注意事项为 Image Builder 创建接口 VPC 终端节点为 Image Builder 创建 VPC 终端节点策略
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

EC2 Image Builder 和接口 VPC 终端节点 (AWS PrivateLink)

您可以通过创建接口 VPC 终端节点在 VPC 和 EC2 Image Builder 之间建立私有连接。接口终端节点由 AWS PrivateLink 提供支持,该技术支持您通过私有连接访问 Image Builder API,而无需采用互联网网关、NAT 设备、VPN 连接或 AWS Direct Connect 连接。VPC 中的实例即使没有公有 IP 地址也可与 Image Builder API 进行通信。VPC 和 Image Builder 之间的流量不会脱离 Amazon 网络。

每个接口终端节点均由子网中的一个或多个弹性网络接口表示。

有关更多信息,请参阅 Amazon VPC 用户指南中的接口 VPC 终端节点 (AWS PrivateLink)

关于 Image Builder VPC 终端节点的注意事项

请务必先查看 Amazon VPC 用户指南中的接口终端节点属性和限制,然后再为 Image Builder 设置接口 VPC 终端节点。

Image Builder 支持从 VPC 调用它的所有 API 操作。

为 Image Builder 创建接口 VPC 终端节点

您可以使用 Amazon VPC 控制台或 AWS Command Line Interface (AWS CLI) 为 Image Builder 服务创建 VPC 终端节点。有关更多信息,请参阅 Amazon VPC 用户指南 中的创建接口终端节点

使用以下服务名称为 Image Builder 创建 VPC 终端节点:

  • com.amazonaws.region.imagebuilder

如果为终端节点启用私有 DNS,则可以使用 Image Builder 针对区域的默认 DNS 名称向其发出 API 请求,例如 imagebuilder.us-east-1.amazonaws.com

有关更多信息,请参阅 Amazon VPC 用户指南中的通过接口终端节点访问服务

为 Image Builder 创建 VPC 终端节点策略

您可以为 VPC 终端节点附加控制对 Image Builder 的访问的终端节点策略。该策略指定以下信息:

  • 可执行操作的委托人。

  • 可执行的操作。

  • 可对其执行操作的资源。

重要

当将非默认策略应用于 EC2 映像生成器 的接口 VPC 终端节点时,某些失败的 API 请求(例如 RequestLimitExceeded 失败请求)可能不会记录到 AWS CloudTrail 或 Amazon CloudWatch。

有关更多信息,请参阅 Amazon VPC 用户指南中的使用 VPC 终端节点控制对服务的访问

示例:Image Builder 操作的 VPC 终端节点策略

以下是拒绝删除 镜像生成器 映像和组件的权限的 Image Builder 终端节点策略示例。该示例策略还授予执行所有其他 EC2 映像生成器 操作的权限。

{
    "Version": "2012-10-17",
    "Statement": [
    {
        "Action": "imagebuilder:*",
        "Effect": "Allow",
        "Resource": "*"
    },
    {
        "Action": [
            "imagebuilder: DeleteImage"
        ],
        "Effect": "Deny",
        "Resource": "*",
    },
    {
        "Action": [
            "imagebuilder: DeleteComponent"
        ],
        "Effect": "Deny",
        "Resource": "*",
    }]
}