本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
EC2 Image Builder 和接口 VPC 终端节点 (Amazon PrivateLink)
您可以通过创建 VPC 和 EC2 Image Builder 之间建立私有连接,从而通过创建一个私接口 VPC 终端节点。接口终端节点由提供支持Amazon PrivateLink
每个接口终端节点均由子网中的一个或多个弹性网络接口表示。
有关更多信息,请参阅 。接口 VPC 终端节点 (Amazon PrivateLink)中的Amazon VPC 用户指南。
Image Builder VPC 终端节点的注意事项
在为 Image Builder 设置接口 VPC 终端节点之前,请务必查看接口终端节点属性和限制中的Amazon VPC 用户指南。
Image Builder 支持从 VPC 调用它的所有 API 操作。
为 Image Builder 创建接口 VPC 终端节点
您可以使用 Amazon VPC 控制台或为 Image Builder 服务创建 VPC 终端节点。Amazon Command Line Interface(Amazon CLI)。有关更多信息,请参阅 。创建接口终端节点中的Amazon VPC 用户指南。
使用以下服务名称为 Image Builder 创建 VPC 终端节点:
-
com.amazonaws.
region
.imagebuilder
如果为终端节点启用私有 DNS,则可以使用针对区域的默认 DNS 名称向 Image Builder 发出 API 请求,例如imagebuilder.us-east-1.amazonaws.com
。要查找适用于您的目标区域的终端节点,请参阅EC2 Image Builder 终端节点和配额中的Amazon Web Services 一般参考。
有关更多信息,请参阅 。通过接口终端节点访问服务中的Amazon VPC 用户指南。
为 Image Builder 创建 VPC 终端节点策略
您可以为 VPC 终端节点附加控制对 Image Builder 的访问的访问的终端节点策略。该策略指定以下信息:
-
可执行操作的委托人。
-
可执行的操作。
-
可对其执行操作的资源。
当将非默认策略应用于 EC2 Image Builder 的接口 VPC 终端节点时,某些 API 请求失败,例如失败请求从RequestLimitExceeded
,可能不会记录到Amazon CloudTrail或 Amazon CloudWatch Watch。
有关更多信息,请参阅 。使用 VPC 终端节点控制对服务的访问中的Amazon VPC 用户指南。
例如:Image Builder 操作的 VPC 终端节点策略
以下是 Image Builder 的终端节点策略示例,该策略拒绝删除 Image Builder 映像和组件的权限。该示例策略还授予执行所有其他 EC2 Image Builder 操作的权限。
{ "Version": "2012-10-17", "Statement": [ { "Action": "imagebuilder:*", "Effect": "Allow", "Resource": "*" }, { "Action": [ "imagebuilder: DeleteImage" ], "Effect": "Deny", "Resource": "*", }, { "Action": [ "imagebuilder: DeleteComponent" ], "Effect": "Deny", "Resource": "*", }] }