本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Amazon Directory Service API并使用接口 Amazon VPC 终端节点 Amazon PrivateLink
您可以使用 Amazon PrivateLink 在VPC和 Amazon Directory Service 和 Directory Service Data 之间创建私有连接APIs。这样,您就可以在不使用互联网网关、NAT设备、连接或VPN Amazon Direct Connect 连接的情况下访问 Amazon Directory Service VPC和 Directory Service 数据,APIs就像它们在您的存储中一样。您的 Amazon 中的实例VPC不需要公有 IP 地址即可访问 Amazon Directory Service 和目录服务数据APIs。
要建立私有连接,您需要创建一个接口 Amazon VPC 终端节点来 Amazon PrivateLink 提供支持。我们将在您为接口端点启用的每个子网中创建一个端点网络接口。这些是请求者管理的网络接口,它们是发往和 Directory Servic Amazon e Data 的流量 Amazon Directory Service 和入口点。
有关更多信息,请参阅Amazon PrivateLink 指南 Amazon PrivateLink中的Amazon Web Services 服务 直通访问。
Amazon Directory Service 和 Directory Service 数据的注意事项
使用 Amazon Directory Service 和 Directory Service Data,您可以通过接口端点调用API操作。有关在创建接口终端节点之前需要考虑的先决条件的信息,请参阅Amazon PrivateLink 指南中的Amazon Web Services 服务 使用接口 Amazon VPC 终端节点访问和。
Amazon Directory Service 和目录服务数据可用性
Amazon Directory Service 支持以下接口端点 Amazon Web Services 区域:
-
美国东部(弗吉尼亚州北部)
-
Amazon GovCloud (美国东部)
-
Amazon GovCloud (美国西部)
Directory Service Data 支持所有 Amazon Web Services 区域 可用的接口端点。有关 Amazon Web Services 区域 该支持 Amazon Directory Service 和 Directory Service 数据的信息,请参阅区域可用性 Amazon Directory Service。
为 Directory Service Data 创建接口 Amazon VPC 终端节点 Amazon Directory Service
您可以APIs使用 Amazon VPC 控制台或 Amazon Command Line Interface (Amazon CLI) 为 Amazon Directory Service 和 Directory Service Data 创建接口终端节点。
例如: Amazon Directory Service
Amazon Directory Service APIs使用以下服务名称创建接口终端节点:
com.amazonaws.
region
.ds
示例:Directory 服务数据
APIs使用以下服务名为 Directory Service Data 创建接口端点:
com.amazonaws.
region
.ds-data
有关创建接口终端节点的更多信息,请参阅Amazon PrivateLink 指南中的Amazon Web Services 服务 使用接口 Amazon VPC 终端节点访问和。
为您的接口创建亚马逊VPC终端节点策略 Amazon VPC 终端节点
终端节点策略是您附加到接口终端节点的IAM资源策略。
注意
如果您未将终端节点策略附加到接口终端节点,请代表您向接口终端节点 Amazon PrivateLink 附加默认终端节点策略。有关更多信息,请参阅 Amazon PrivateLink 概念。
端点策略指定以下信息:
-
可以执行操作的委托人(Amazon Web Services 账户、IAM用户和IAM角色)
-
可执行的操作
-
可以对其执行操作的资源
有关更多信息,请参阅《Amazon PrivateLink 指南》中的使用端点策略控制对服务的访问权限。
您可以通过将自定义终端节点策略附加APIs到您的接口终端节点VPC来控制从您的 Amazon 访问的权限。
示例:Amazon VPC 终端节点 Amazon Directory Service API操作策略
以下是自定义端点策略的示例。当您将此策略附加到接口终端节点时,它会授予所有委托人对所有资源 Amazon Directory Service 执行所列操作的访问权限。
Replace(替换) action-1
, action-2
,以及 action-3
具有您想要包含在策略中的所需的权限。 Amazon Directory Service APIs有关完整列表,请参阅Amazon Directory Service API权限:操作、资源和条件参考。
{ "Statement": [ { "Principal": "*", "Effect": "Allow", "Action": [ "ds:
action-1
", "ds:action-2
", "ds:action-3
" ], "Resource":"*" } ] }
示例:Directory Service Data API 操作的亚马逊VPC终端节点策略
以下是自定义端点策略的示例。当您将此策略附加到接口终端节点时,它会向所有资源的所有委托人授予访问列出的 Directory Service Data 操作的权限。
Replace(替换) action-1
,
action-2
,以及 action-3
拥有您想要包含在策略中的目录服务数据APIs所需的权限。有关完整列表,请参阅Amazon Directory Service API权限:操作、资源和条件参考。
{ "Statement": [ { "Principal": "*", "Effect": "Allow", "Action": [ "ds-data:
action-1
", "ds-data:action-2
", "ds-data:action-3
" ], "Resource":"*" } ] }