FAQ concernant AWS PrivateLink

AWS PrivateLink permet aux utilisateurs d’accéder à des services et des ressources hébergés sur AWS avec une haute disponibilité et de manière évolutive tout en conservant le trafic réseau dans le réseau AWS. Les utilisateurs peuvent accéder de manière privée aux services et ressources fournis par PrivateLink depuis leur cloud privé virtuel (VPC) Amazon ou sur site sans utiliser d’adresses IP publiques et sans que le trafic ne transite par Internet. Les propriétaires du service peuvent enregistrer leurs Network Load Balancer auprès des services PrivateLink et fournir leurs services à d'autres clients AWS. Les propriétaires de ressources peuvent partager leurs ressources directement sans utiliser Network Load Balancer.

En tant qu’utilisateur, vous devrez créer les points de terminaison d’un VPC (alimentés par PrivateLink) pour accéder aux services et aux ressources. Ces points de terminaison d’un VPC apparaîtront en tant qu’interface réseau Elastic avec des IP privées dans vos VPC. Une fois ces points de terminaison créés, tout trafic destiné à ces IP sera routé de manière privée vers les services et les ressources correspondants.

En tant que propriétaire du service, vous pouvez embarquer votre service sur AWS PrivateLink en créant un Network Load Balancer pour mettre en avant votre service et créer un service PrivateLink pour s’enregistrer auprès du Network Load Balancer. Vos clients pourront créer des points de terminaison dans leurs propres VPC pour se connecter à votre service une fois que vous aurez ajouté leurs comptes et rôles IAM à une liste autorisée.

Les points de terminaison d’un VPC vous permettent de connecter en privé votre VPC à des services et ressources hébergés sur AWS sans avoir besoin d’une passerelle Internet, d’un dispositif NAT ou de proxys de pare-feu. Les points de terminaison d’un VPC sont des dispositifs virtuels évolutifs horizontalement et hautement disponibles qui permettent la communication entre les instances de votre VPC et les services et ressources. Amazon VPC propose cinq types différents de points de terminaison d’un VPC : point de terminaison de passerelle, points de terminaison d’interface, point de terminaison de type équilibreur de charge de passerelle, point de terminaison de ressource et point de terminaison de réseau de services. Tous les types de points de terminaison d’un VPC, à l’exception des points de terminaison de type passerelle, sont alimentés par PrivateLink.

Les points de terminaison d’interface fournissent une connectivité privée aux services alimentés par PrivateLink. Ces services peuvent être des services AWS, vos propres services ou des solutions de type logiciel en tant que service (SaaS). Les points de terminaison d’interface prennent également en charge la connectivité via AWS Direct Connect et le VPN.

Les points de terminaison de passerelle sont disponibles uniquement pour les services AWS, notamment Amazon S3 et Amazon DynamoDB, et n’activent pas PrivateLink. Ces points de terminaison ajoutent une entrée à la table de routage que vous avez sélectionné et routent le trafic vers les services pris en charge via le réseau privé d’Amazon.

Les points de terminaison de type équilibreur de charge de passerelle offrent une connectivité privée aux appliances placées devant un Gateway Load Balancer.

Les points de terminaison des ressources fournissent une connectivité privée aux ressources VPC telles que les bases de données, les clusters, les cibles de noms de domaine et les adresses IP, qui ne nécessitent pas d’équilibrage de charge. Ils prennent en charge la connectivité via AWS Direct Connect et un VPN.

Les points de terminaison du réseau de services vous permettent de vous connecter en privé aux services et aux ressources qui se trouvent dans un réseau de services Amazon VPC Lattice. Ils vous permettent d’accéder à de multiples services et ressources via un seul point de terminaison de VPC. Ils prennent également en charge la connectivité via AWS Direct Connect et VPN. Consultez la page detarification d’AWS PrivateLink afin de connaître les tarifs des points de terminaison d’un VPC.

Les points de terminaison d’un VPC fournissent un accès sécurisé à un service ou une ressource spécifique, avec plusieurs avantages pour l’utilisateur final :

• Les points de terminaison de VPC permettent d’accéder à un service ou une ressource spécifique sans avoir besoin d’utiliser d’autre passerelle. Pas besoin d’utiliser une passerelle Internet, une passerelle NAT, une connexion VPN ou une connexion d’appairage de VPC, ce qui réduit les risques d’exposition de vos ressources à Internet ou à d’autres réseaux extérieurs.
• Votre trafic reste au sein du réseau privé d’Amazon, ce qui réduit le risque d’exposition de votre trafic à Internet.
• Lorsque vous accédez aux services Amazon via des points de terminaison d’un VPC, vous pouvez limiter l'accès via un point de terminaison d’un VPC à des utilisateurs, des actions et/ou des ressources spécifiques.
• Vous pouvez limiter l'accès aux ressources fournies par un service Amazon au trafic provenant d'un VPC spécifique ou via un point de terminaison d’un VPC spécifique.

Oui. L’application dans vos locaux peut se connecter aux points de terminaison d’un VPC dans un Amazon VPC via AWS Direct Connect. Les points de terminaison d’un VPC dirigeront automatiquement le trafic vers les services alimentés par AWS PrivateLink.

Vous pouvez rechercher les services et ressources disponibles en utilisant la console VPC ou de l’AWS CLI/SDK. Vous pouvez ensuite accéder à un service, à une ressource ou à un réseau de services via des points de terminaison d’un VPC.

Vous pouvez créer une ressource en définissant une configuration de ressource dans Amazon VPC Lattice. En tant que propriétaire de ressources, vous pouvez intégrer votre ressource à PrivateLink en créant une configuration de ressources contenant une liste de ressources. Vos clients pourront établir des points de terminaison au sein de leur VPC pour se connecter à vos ressources une fois que vous aurez partagé cette configuration de ressources avec leurs comptes à l’aide d’AWS Resource Access Manager (RAM).

Les points de terminaison des ressources fournissent une connectivité privée aux ressources VPC telles que les bases de données, les clusters, les cibles de noms de domaine et les adresses IP, qui ne nécessitent pas d’équilibrage de charge. Ils prennent en charge la connectivité via AWS Direct Connect et un VPN.

Les points de terminaison du réseau de services vous permettent de vous connecter en privé aux services et aux ressources qui se trouvent dans un réseau de services VPC Lattice. Ils vous permettent d’accéder à de multiples services et ressources via un seul point de terminaison de VPC. Ils prennent également en charge la connectivité via AWS Direct Connect et VPN. Reportez-vous à la rubrique Tarification VPC pour connaître la tarification des terminaux VPC.

La grille tarifaire de PrivateLink contient des informations sur les frais et la facturation. Si vous décidez de créer le point de terminaison d’un VPC de type interface ou équilibreur de charge de passerelle dans votre VPC, des frais vous sont facturés pour chaque heure où votre point de terminaison de VPC est provisionné dans chaque zone de disponibilité. Si vous avez choisi de créer un point de terminaison de VPC de type ressource dans votre VPC, des frais vous sont facturés pour chaque heure, quel que soit le nombre de zones de disponibilité dans lesquelles votre point de terminaison VPC est provisionné. Des frais de traitement des données sont appliqués pour chaque gigaoctet traité par le point de terminaison d’un VPC, quelles que soient l’origine ou la destination du trafic. Chaque heure partielle consommée par le point de terminaison d'un VPC sera facturée comme une heure pleine. Si vous ne souhaitez plus être facturé pour un point de terminaison de VPC, il suffit de le supprimer en utilisant AWS Management Console, l'interface de ligne de commande ou une API.

Sauf indication contraire, nos prix n'incluent pas les taxes et redevances applicables, y compris la TVA et les taxes sur les ventes applicables. Pour les clients dont l'adresse de facturation est située au Japon, l'utilisation de services AWS est soumise à la taxe sur la consommation applicable dans ce pays.

En savoir plus

Alors que le peering VPC est limité à 125 connexions VPC, AWS PrivateLink offre une évolutivité pratiquement illimitée. Chaque point de terminaison d’un VPC connecte les instances Amazon Elastic Compute Cloud (Amazon EC2) d’un VPC à un service, une ressource ou un réseau de services spécifique. Vous pouvez ajouter autant de points de terminaison que vous le souhaitez, en fonction du nombre de VPC, de ressources et de services auxquels vous devez vous connecter.

R : Vous pouvez créer jusqu'à 100 points de terminaison d’un VPC par VPC. Si vous avez besoin de plus que cela, contactez-nous et nous trouverons une solution avec vous.

Vous pouvez créer le point de terminaison d’un VPC dans votre VPC et spécifier le service, la ressource ou le réseau de services que vous souhaitez utiliser. Le point de terminaison d’un VPC possède des noms de DNS qui correspond aux adresses IP locales de votre VPC. Lorsque vous acheminez le trafic vers ces noms de DNS, il est acheminé via le point de terminaison d’un VPC vers un service ou une ressource, qui peut concerner plusieurs comptes.

Chaque point de terminaison d’un VPC peut prendre en charge une bande passante continue de 10 Gbit/s par zone de disponibilité, par défaut, après quoi une capacité supplémentaire est automatiquement ajoutée jusqu’à 100 Gbit/s. La mise à l’échelle des points de terminaison est entièrement gérée pour garantir que le trafic vers votre point de terminaison ne soit pas affecté.

Les points de terminaison d’un VPC de type « passerelle », « interface », « équilibreur de charge de passerelle » et « ressource » se connectent à un service ou à une ressource de point de terminaison unique. Les points de terminaison d’un VPC de type « réseau de service » se connectent à un réseau de service, qui peut être associé à plusieurs ressources et à des services VPC Lattice.

Si vous utilisez la dernière version d'AWS CLI/SDK, vous n'avez pas besoin de mettre à jour votre code. Le CLI/SDK découvre automatiquement vos points de terminaison d’un VPC et les utilise par défaut. Si vous utilisez une ancienne version de CLI/SDK, vous devrez spécifier le nom DNS comme paramètre du point de terminaison dans le CLI/SDK. Si vous devez spécifier le point de terminaison, vous pouvez découvrir le nom DNS en interrogeant le service de métadonnées EC2.

Non, il se peut que cela soit pris en charge dans les prochaines mises à jour, mais pour l'instant, seuls les noms de points de terminaison privés sont pris en charge.

Oui, vous pouvez accéder aux points de terminaison d’un VPC via Direct Connect. Les enregistrements DNS d'un point de terminaison d’un VPC peuvent être résolus publiquement, mais renvoient l'adresse IP privée au sein du VPC associé.

La sécurité d'AWS PrivateLink repose sur trois facteurs : le chemin, les politiques et le mode de communication.

Le chemin entre un point de terminaison d’un VPC et un service reste dans AWS et ne passe pas par Internet. Il reste donc hors de portée des violations d'Internet.

Lorsque vous utilisez des points de terminaison d’un VPC avec les services AWS, vous pouvez également créer des politiques relatives aux points de terminaison, qui limitent l’accès aux requêtes envoyées au point de terminaison d’un VPC.

PrivateLink ne fournit aucun cryptage par défaut pour les données en transit. Le consommateur du service lance toujours le service (il s'agit d'un service à sens unique) et le fournisseur de services ne fournit le service qu'aux clients autorisés.

Oui. Vous pouvez associer des groupes de sécurité à des points de terminaison d’un VPC.

Oui. Vous pouvez utiliser la Console de gestion AWS pour gérer les objets Amazon VPC tels que les points de terminaison d’un VPC et les connexions AWS PrivateLink.

Oui. Cliquez ici pour plus d'informations sur AWS Support.

Les métriques Amazon CloudWatch sont disponibles pour les points de terminaison d’un VPC de type « interface » et « équilibreur de charge de passerelle ».