Amazon Batch 使用接口端点进行访问 - Amazon Batch
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon Batch 使用接口端点进行访问

您可以使用 Amazon PrivateLink 在您的 VPC 和之间创建私有连接 Amazon Batch。您可以像在 VPC 中一样访问 Amazon Batch ,而无需使用互联网网关、NAT 设备、VPN 连接或 Amazon Direct Connect 连接。VPC 中的实例不需要公有 IP 地址即可访问 Amazon Batch。

您可以通过创建由 Amazon PrivateLink 提供支持的接口端点来建立此私有连接。我们将在您为接口端点启用的每个子网中创建一个端点网络接口。这些是请求者托管的网络接口,用作发往 Amazon Batch 的流量的入口点。

有关更多信息,请参阅 Amazon PrivateLink 指南 中的 接口 VPC 端点

的注意事项 Amazon Batch

在为设置接口终端节点之前 Amazon Batch,请查看Amazon PrivateLink 指南中的接口端点属性和限制

Amazon Batch 支持通过接口端点调用其所有 API 操作。

在为设置接口 VPC 终端节点之前 Amazon Batch,请注意以下注意事项:

  • 使用 Fargate 资源启动类型的任务不需要 Amazon ECS 的接口 VPC 终端节点,但您可能需要以下几点中描述的 Amazon ECR、Secret CloudWatch s Manager 或 A Amazon Batch mazon Logs 的接口 VPC 终端节点。

    • 要运行作业,您必须为 Amazon ECS 创建接口 VPC 端点。有关更多信息,请参阅 Amazon Elastic Container Service 开发人员指南中的接口 VPC 端点 (Amazon PrivateLink)

    • 要允许您的任务从 Amazon ECR 拉取私有映像,您必须为 Amazon ECR 创建接口 VPC 端点。有关更多信息,请参阅 Amazon Elastic Container Registry 用户指南中的接口 VPC 端点 (Amazon PrivateLink)

    • 要允许您的任务从 Secrets Manager 拉取敏感数据,您必须为 Secrets Manager 创建接口 VPC 端点。有关更多信息,请参阅 Amazon Secrets Manager 用户指南中的将 Secrets Manager 与 VPC 端点结合使用

    • 如果您的 VPC 没有 Internet 网关,并且您的任务使用awslogs日志驱动程序向日志发送日志信息,则必须为 CloudWatch 日志创建接口 VPC 终端节点。 CloudWatch 有关更多信息,请参阅 Amazon CloudWatch CloudWatch 日志用户指南中的将日志与接口 VPC 终端节点配合使用

  • 使用 EC2 资源的任务要求启动它们的容器实例运行 1.25.1 或更高版本的 Amazon ECS 容器代理。有关更多信息,请参阅《Amazon Elastic Container Service 开发人员指南》 中的 Amazon ECS 容器代理配置

  • VPC 端点当前不支持跨区域请求。确保在计划向 Amazon Batch 发出 API 调用的同一区域中创建端点。

  • VPC 端点仅通过 Amazon Route 53 支持 Amazon 提供的 DNS。如果您希望使用自己的 DNS,可以使用条件 DNS 转发。有关更多信息,请参阅 Amazon VPC 用户指南中的 DHCP 选项集

  • 附加到 VPC 端点的安全组必须允许端口 443 上来自 VPC 的私有子网的传入连接。

  • Amazon Batch 不支持以下 VPC 接口终端节点 Amazon Web Services 区域:

    • 亚太地区(大阪)(ap-northeast-3)

    • 亚太地区(雅加达)(ap-southeast-3

为创建接口终端节点 Amazon Batch

您可以创建用于 Amazon Batch 使用 Amazon VPC 控制台或 Amazon Command Line Interface (Amazon CLI) 的接口终端节点。有关更多信息,请参阅《Amazon PrivateLink 指南》中的创建接口端点

Amazon Batch 使用以下服务名称创建接口终端节点:

com.amazonaws.region.batch

例如:

com.amazonaws.us-east-2.batch

aws-cn分区中,格式不同:

cn.com.amazonaws.region.batch

例如:

cn.com.amazonaws.cn-northwest-1.batch

如果您为接口终端节点启用私有 DNS,则 Amazon Batch 可以使用其默认区域 DNS 名称向发出 API 请求。例如,batch.us-east-1.amazonaws.com

有关更多信息,请参阅 Amazon PrivateLink 指南中的通过接口端点访问服务

为接口端点创建端点策略

端点策略是一种 IAM 资源,您可以将其附加到接口端点。默认终端节点策略允许 Amazon Batch 通过接口终端节点进行完全访问。要控制允许从 VPC 访问 Amazon Batch 的权限,请将自定义端点策略附加到接口端点。

端点策略指定以下信息:

  • 可执行操作的主体(Amazon Web Services 账户、用户和 IAM 角色)。

  • 可执行的操作。

  • 可对其执行操作的资源。

有关更多信息,请参阅《Amazon PrivateLink 指南》中的使用端点策略控制对服务的访问权限

示例:用于 Amazon Batch 操作的 VPC 终端节点策略

以下是自定义端点策略的示例。当您将此策略附加到接口终端节点时,它会授予所有委托人对所有资源 Amazon Batch 执行所列操作的访问权限。

{ "Statement": [ { "Principal": "*", "Effect": "Allow", "Action": [ "batch:SubmitJob", "batch:ListJobs", "batch:DescribeJobs" ], "Resource":"*" } ] }