Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Accès Services AWS via AWS PrivateLink
Vous accédez à un point de terminaison et vous Service AWS l'utilisez. Les points de terminaison de service par défaut sont des interfaces publiques. Vous devez donc ajouter une passerelle Internet à votre VPC afin que le trafic puisse passer du VPC vers Service AWS. Si cette configuration ne répond pas aux exigences de sécurité de votre réseau, vous pouvez AWS PrivateLink connecter votre VPC Services AWS comme s'il se trouvait dans votre VPC, sans passer par une passerelle Internet.
Vous pouvez accéder en privé à ceux Services AWS qui s'intègrent à l' AWS PrivateLink aide de points de terminaison VPC. Vous pouvez créer et gérer toutes les couches de votre pile d'applications sans utiliser de passerelle Internet.
**Tarification**
Vous êtes facturé pour chaque heure pendant laquelle le point de terminaison VPC de votre interface est provisionné dans chaque zone de disponibilité. Vous êtes également facturé par Go de données traitées. Pour plus d’informations, consultez [AWS PrivateLink Tarification](https://aws.amazon.com/privatelink/pricing/).
**Topics**
+ [Présentation de](#interface-endpoint-overview)
+ [Noms d'hôte DNS](#interface-endpoint-dns-hostnames)
+ [Résolution DNS](#interface-endpoint-dns-resolution)
+ [DNS privé](#interface-endpoint-private-dns)
+ [Sous-réseaux et zones de disponibilité](#aws-service-subnets-zones)
+ [Types d'adresses IP](#aws-service-ip-address-type)
+ [Type d'IP d'enregistrement DNS](#aws-services-dns-record-ip-type)
+ [Services qui s'intègrent](aws-services-privatelink-support.md)
+ [Cross-region activé Services AWS](aws-services-cross-region-privatelink-support.md)
+ [Création d’un point de terminaison d’interface](create-interface-endpoint.md)
+ [Configuration d'un point de terminaison d'interface](interface-endpoints.md)
+ [Réception d'alertes pour les événements relatifs aux points de terminaison d'interface](manage-notifications-endpoint.md)
+ [Suppression d'un point de terminaison d'interface](delete-interface-endpoint.md)
+ [Points de terminaison de passerelle](gateway-endpoints.md)
## Présentation de
Vous pouvez y accéder Services AWS via leurs points de terminaison de service public ou vous connecter à une Services AWS utilisation AWS PrivateLink prise en charge. Cette vue d'ensemble compare ces méthodes.
**Accès via des points de terminaison de service public**
Le schéma suivant montre comment les instances accèdent Services AWS via les points de terminaison du service public. Le trafic à destination et en Service AWS provenance d'une instance d'un sous-réseau public est acheminé vers la passerelle Internet du VPC, puis vers le. Service AWS Le trafic vers un Service AWS à partir d'une instance d'un sous-réseau privé est acheminé vers une passerelle NAT, puis vers la passerelle Internet pour le VPC, puis vers le Service AWS. Lorsque ce trafic traverse la passerelle Internet, il ne quitte pas le AWS réseau.
**Connect via AWS PrivateLink**
Le schéma suivant montre comment les instances y Services AWS accèdent AWS PrivateLink. Tout d'abord, vous créez un point de terminaison VPC d'interface, qui établit des connexions entre les sous-réseaux de votre VPC et une interface réseau d'utilisation. Service AWS Le trafic destiné au Service AWS est résolu vers les adresses IP privées des interfaces réseau du point de terminaison à l'aide du DNS, puis envoyé au Service AWS moyen de la connexion entre le point de terminaison VPC et le. Service AWS
Services AWS accepte automatiquement les demandes de connexion. Le service ne peut pas lancer de requêtes vers les ressources de votre VPC via le point de terminaison de VPC.
## Noms d'hôte DNS
La plupart Services AWS proposent des points de terminaison régionaux publics, dont la syntaxe est la suivante.
```
{{protocol}}://{{service_code}}.{{region_code}}.amazonaws.com
```
Par exemple, le point de terminaison public pour Amazon CloudWatch dans us-east-2 est le suivant.
```
https://monitoring.us-east-2.amazonaws.com
```
Avec AWS PrivateLink, vous envoyez du trafic vers le service à l'aide de points de terminaison privés. Lorsque vous créez un point de terminaison VPC d'interface, nous créons des noms DNS régionaux et zonaux que vous pouvez utiliser pour communiquer avec eux depuis Service AWS votre VPC.
Le nom DNS régional de votre point de terminaison de VPC d'interface a la syntaxe suivante :
```
{{endpoint_id}}.{{service_id}}.{{region}}.vpce.amazonaws.com
```
Les noms DNS zonaux ont la syntaxe suivante :
```
{{endpoint_id}}-{{az_name}}.{{service_id}}.{{region}}.vpce.amazonaws.com
```
Lorsque vous créez un point de terminaison VPC d'interface pour un Service AWS, vous pouvez activer le DNS [privé](#interface-endpoint-private-dns). Avec le DNS privé, vous pouvez continuer à effectuer des demandes à un service en utilisant le nom DNS de son point de terminaison public, tout en tirant parti de la connectivité privée via le point de terminaison d'un VPC de l'interface. Pour de plus amples informations, veuillez consulter [Résolution DNS](#interface-endpoint-dns-resolution).
La commande [describe-vpc-endpoints](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-vpc-endpoints.html) suivante affiche les entrées DNS d'un point de terminaison d'interface.
```
aws ec2 describe-vpc-endpoints --vpc-endpoint-id {{vpce-099deb00b40f00e22}} --query VpcEndpoints[*].DnsEntries
```
Voici un exemple de sortie pour un point de terminaison d'interface pour Amazon CloudWatch avec des noms DNS privés activés. La première entrée est le point de terminaison régional privé. Les trois entrées suivantes sont les points de terminaison zonaux privés. La dernière entrée provient de la zone hébergée privée cachée, qui résout les requêtes adressées au point de terminaison public en adresses IP privées des interfaces réseau du point de terminaison.
```
[
[
{
"DnsName": "vpce-099deb00b40f00e22-lj2wisx3.monitoring.us-east-2.vpce.amazonaws.com",
"HostedZoneId": "ZC8PG0KIFKBRI"
},
{
"DnsName": "vpce-099deb00b40f00e22-lj2wisx3-us-east-2c.monitoring.us-east-2.vpce.amazonaws.com",
"HostedZoneId": "ZC8PG0KIFKBRI"
},
{
"DnsName": "vpce-099deb00b40f00e22-lj2wisx3-us-east-2a.monitoring.us-east-2.vpce.amazonaws.com",
"HostedZoneId": "ZC8PG0KIFKBRI"
},
{
"DnsName": "vpce-099deb00b40f00e22-lj2wisx3-us-east-2b.monitoring.us-east-2.vpce.amazonaws.com",
"HostedZoneId": "ZC8PG0KIFKBRI"
},
{
"DnsName": "monitoring.us-east-2.amazonaws.com",
"HostedZoneId": "Z06320943MMOWYG6MAVL9"
}
]
]
```
## Résolution DNS
Les enregistrements DNS que nous créons pour votre point de terminaison de VPC d'interface sont publics. Par conséquent, ces noms DNS peuvent être résolus publiquement. Cependant, les requêtes DNS provenant de l'extérieur du VPC renvoient toujours les adresses IP privées des interfaces réseau du point de terminaison, de sorte que ces adresses IP ne peuvent pas être utilisées pour accéder au service de point de terminaison, sauf si vous avez accès au VPC.
## DNS privé
Si vous activez le DNS privé pour le point de terminaison VPC de votre interface et que les [noms d'hôte DNS et la résolution DNS sont activés sur votre VPC, nous créons pour vous une zone AWS hébergée privée masquée et](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc-dns-updating) gérée. La zone hébergée contient un ensemble d'enregistrements pour le nom DNS par défaut du service qui se résout en adresses IP privées des interfaces réseau du point de terminaison de votre VPC. Par conséquent, si vous avez des applications existantes qui envoient des demandes à l' Service AWS aide d'un point de terminaison régional public, ces demandes passent désormais par les interfaces réseau du point de terminaison, sans que vous ayez à apporter de modifications à ces applications.
Nous vous recommandons d’activer des noms d’hôtes DNS privés pour votre point de terminaison de VPC pour les Services AWS. Cela garantit que les demandes qui utilisent les points de terminaison du service public, telles que les demandes effectuées via un AWS SDK, sont résolues vers votre point de terminaison VPC.
Amazon fournit un serveur DNS pour votre VPC, appelé [Route 53 Resolver](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver.html). Route 53 Resolver résout automatiquement les noms de domaine VPC locaux et enregistre dans des zones hébergées privées. Toutefois, vous ne pouvez pas utiliser Route 53 Resolver en dehors de votre VPC. Si vous souhaitez accéder à votre point de terminaison d'un VPC depuis votre réseau sur site, vous pouvez utiliser les points de terminaison Route 53 Resolver et les règles Resolver. Pour plus d'informations, consultez la section [Intégration AWS Transit Gateway avec AWS PrivateLink et Amazon Route 53 Resolver](https://aws.amazon.com/blogs/networking-and-content-delivery/integrating-aws-transit-gateway-with-aws-privatelink-and-amazon-route-53-resolver/).
## Sous-réseaux et zones de disponibilité
Vous pouvez configurer votre point de terminaison d'un VPC avec un sous-réseau par zone de disponibilité. Nous créons une interface réseau pour le point de terminaison d'un VPC dans votre sous-réseau. Nous attribuons des adresses IP à chaque interface réseau de point de terminaison à partir de son sous-réseau, en fonction du [type d'adresse IP](#aws-service-ip-address-type) du point de terminaison d'un VPC. Les adresses IP d'une interface réseau de point de terminaison ne changeront pas pendant la durée de vie de son point de terminaison d'un VPC.
Dans un environnement de production, pour assurer une disponibilité et une résilience élevées, nous recommandons ce qui suit :
+ Configurez au moins deux zones de disponibilité par point de terminaison VPC et déployez les AWS Service AWS ressources qui doivent y accéder.
+ configurez les noms DNS privés pour le point de terminaison d'un VPC.
+ Accédez au Service AWS en utilisant son nom DNS régional, également appelé point de terminaison public.
Le schéma suivant montre un point de terminaison VPC pour Amazon CloudWatch avec une interface réseau de point de terminaison dans une seule zone de disponibilité. Lorsqu'une ressource d'un sous-réseau du VPC accède à CloudWatch Amazon via son point de terminaison public, nous résolvons le trafic vers l'adresse IP de l'interface réseau du point de terminaison. Cela inclut le trafic provenant de sous-réseaux situés dans d'autres zones de disponibilité. Toutefois, si la zone de disponibilité 1 est altérée, les ressources de la zone de disponibilité 2 perdent l'accès à Amazon CloudWatch.
Le schéma suivant montre un point de terminaison VPC pour Amazon CloudWatch avec des interfaces réseau de points de terminaison dans deux zones de disponibilité. Lorsqu'une ressource d'un sous-réseau du VPC accède à CloudWatch Amazon via son point de terminaison public, nous sélectionnons une interface réseau de point de terminaison saine, en utilisant l'algorithme Round Robin pour alterner entre les deux. Nous résolvons ensuite le trafic vers l'adresse IP de l'interface réseau du point de terminaison sélectionné.
Si cela convient mieux à votre cas d'utilisation, vous pouvez envoyer le trafic depuis vos ressources vers le Service AWS en utilisant l'interface réseau du point de terminaison dans la même zone de disponibilité. Pour ce faire, utilisez le point de terminaison de la zone privée ou l'adresse IP de l'interface réseau du point de terminaison.
## Types d'adresses IP
Services AWS peuvent prendre en charge IPv6 via leurs points de terminaison privés même s'ils ne prennent pas en charge IPv6 via leurs points de terminaison publics. Les points de terminaison qui prennent en charge IPv6 peuvent répondre aux requêtes DNS avec des enregistrements AAAA.
**Exigences pour activer IPv6 pour un point de terminaison d'interface**
+ Le Service AWS doit rendre ses points de terminaison de service disponibles via IPv6. Pour de plus amples informations, veuillez consulter [Afficher la prise charge d'IPv6](aws-services-privatelink-support.md#vpce-ipv6-support).
+ Le type d'adresse IP d'un point de terminaison d'interface doit être compatible avec les sous-réseaux du point de terminaison d'interface, comme décrit ici :
+ **IPv4** – Attribuez des adresses IPv4 aux interfaces réseau de vos points de terminaison. Cette option n'est prise en charge que si tous les sous-réseaux sélectionnés possèdent des plages d'adresses IPv4.
+ **IPv6** – Attribuez des adresses IPv6 aux interfaces réseau de vos points de terminaison. Cette option n'est prise en charge que si tous les sous-réseaux sélectionnés sont des sous-réseaux IPv6 uniquement.
+ **Dualstack** – Attribuez à la fois des adresses IPv4 et IPv6 aux interfaces réseau de vos points de terminaison. Cette option n'est prise en charge que si tous les sous-réseaux sélectionnés possèdent des plages d'adresses IPv4 et IPv6.
Si le point de terminaison d'un VPC d'interface prend en charge le protocole IPv4, les interfaces réseau du point de terminaison possèdent des adresses IPv4. Si le point de terminaison d'un VPC d'interface prend en charge le protocole IPv6, les interfaces réseau du point de terminaison possèdent des adresses IPv6. L'adresse IPv6 d'une interface réseau de point de terminaison est inaccessible depuis Internet. Si vous décrivez une interface réseau de point de terminaison avec une adresse IPv6, remarquez que `denyAllIgwTraffic` est activé.
## Type d'IP d'enregistrement DNS
En fonction de votre type d'adresse IP, lorsque vous appelez un point de terminaison VPC, le AWS service peut renvoyer des enregistrements A, des enregistrements AAAA ou des enregistrements A et AAAA à la fois. Vous pouvez personnaliser les types d'enregistrement renvoyés par votre AWS service en modifiant le type IP de l'enregistrement DNS. Le tableau suivant indique les types d'IP d'enregistrement DNS pris en charge et les types d'enregistrement renvoyés :
| Type d'IP d'enregistrement DNS | Types d'enregistrements renvoyés |
| --- | --- |
| IPv4 | A |
| IPv6 | AAAA |
| Double pile | A et AAAA |
Par défaut, le type d'enregistrement DNS est le même que le type d'adresse IP. Vous pouvez choisir un autre type d'adresse IP d'enregistrement DNS, mais vous devez utiliser un type d'adresse IP compatible pour le service de point de terminaison. Le tableau suivant indique le type d'IP d'enregistrement DNS pris en charge pour chaque type d'adresse IP pour les points de terminaison d'interface :
| Type d’adresse IP | Types d'IP d'enregistrement DNS pris en charge |
| --- | --- |
| IPv4 | IPv4 |
| IPv6 | IPv6 |
| Double pile | Dualstack\*, IPv4, IPv6, défini par le service |
\* Représente le type d'IP d'enregistrement DNS par défaut.
Un type d'IP d'enregistrement DNS défini par le service renvoie des enregistrements DNS en fonction du point de terminaison de service que vous appelez. Si vous utilisez un type d'IP d'enregistrement DNS défini par le service, assurez-vous que votre service peut gérer les appels variables provenant des points de terminaison du service. Pour voir les enregistrements DNS pris en charge par le point de terminaison de votre interface, consultez les noms DNS de votre point de terminaison VPC dans le AWS Management Console, ou utilisez. [DescribeVpcEndpoints](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeVpcEndpoints.html)
Le comportement du type IP d'enregistrement DNS est différent pour les points de terminaison de passerelle. Pour plus d'informations, voir [Type d'IP d'enregistrement DNS pour les points de terminaison de passerelle](gateway-endpoints.md#gateway-endpoint-dns-record-ip-type).