Amazon Directory Service API 和接口 Amazon VPC 终端节点使用 Amazon PrivateLink - Amazon Directory Service
注意事项可用性创建接口端点创建 VPC 端点策略
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon Directory Service API 和接口 Amazon VPC 终端节点使用 Amazon PrivateLink

您可以通过创建接口 VPC 终端节点在您的 Amazon VPC 和 Amazon Directory Service API 终端节点之间建立私有连接。接口端点由 Amazon PrivateLink 提供支持。

Amazon PrivateLink 使您无需互联网网关、NAT 设备、VPN 连接或 Amazon Direct Connect 连接即可私密访问 Amazon Directory Service API 操作。您的 VPC 和 VPC 之间的流量 Amazon Directory Service 不会离开 Amazon 网络。

每个接口端点均由子网中的一个或多个弹性网络接口表示。有关弹性网络接口的更多信息,请参阅 Amazon EC2 用户指南中的弹性网络接口

有关 VPC 终端节点的更多信息,请参阅 Amazon VPC 用户指南中的 Amazon Web Service 使用接口 VPC 终端节点访问。有关 Amazon Directory Service API 操作的更多信息,请参阅 Amazon Directory Service API 参考。

VPC 终端节点注意事项

在为 Amazon Directory Service API 终端节点设置接口 VPC 终端节点之前,请务必查看Amazon PrivateLink 指南中的使用接口 VPC 终端节点访问和 Amazon Web Service 使用接口 VPC 终端节点

所有与管理 Amazon Directory Service 资源相关的 Amazon Directory Service API 操作均可通过您的 VPC 使用 Amazon PrivateLink。

Directory Service API 终端节点支持 VPC 终端节点策略。默认情况下,允许通过终端节点对 Directory Service API 操作进行完全访问。有关更多信息,请参阅 Amazon VPC 用户指南中的使用终端节点策略控制 VPC 终端节点的访问权限

可用性

Amazon Directory Service 支持以下 VPC 终端节点 Amazon Web Services 区域:

Amazon Web Services 区域 可用性

  • 美国东部(弗吉尼亚州北部)

  • 美国东部(俄亥俄州)

  • 美国西部(加利福尼亚北部)

  • 美国西部(俄勒冈州)

  • 非洲(开普敦)

  • 亚太地区(香港)

  • 亚太地区(海得拉巴)

  • 亚太地区(雅加达)

  • 亚太地区(墨尔本)

  • 亚太地区(孟买)

  • 亚太地区(大阪)

  • 亚太地区(首尔)

  • 亚太地区(新加坡)

  • 亚太地区(悉尼)

  • 亚太地区(东京)

  • 加拿大(中部)

  • 加拿大西部(卡尔加里)

  • 中国(北京和宁夏)

  • 亚太地区(香港)

  • 欧洲地区(法兰克福)

  • 欧洲地区(爱尔兰)

  • 欧洲地区(伦敦)

  • 欧洲地区(米兰)

  • 欧洲地区(巴黎)

  • 欧洲(西班牙)

  • 欧洲地区(斯德哥尔摩)

  • 欧洲(苏黎世)

  • 以色列(特拉维夫)

  • 中东(巴林)

  • 中东(阿联酋)

  • 南美洲(圣保罗)

  • Amazon GovCloud (美国东部)

  • Amazon GovCloud (美国西部)

为 API 创建 Amazon Directory Service 接口端点

您可以使用 Amazon VPC 控制台或 Amazon Command Line Interface (Amazon CLI) 为 Amazon Directory Service API 创建 VPC 接口终端节点。有关更多信息,请参阅 Amazon PrivateLink 指南中的创建 VPC 端点

使用以下服务名称为 Amazon Directory Service API 创建接口终端节点:com.amazonaws.region.ds

中国除外 Amazon Web Services 区域 ,如果您为终端节点启用私有 DNS,则可以使用 VPC 终端节点 Amazon Directory Service 的默认 DNS 名称向 VPC 终端节点发 Amazon Web Services 区域出 API 请求ds.us-east-1.amazonaws.com。对于中国(北京和宁夏) Amazon Web Services 区域,您可以分别使用ds-api.cn-north-1.amazonaws.com.cnds-api.cn-northwest-1.amazonaws.com.cn向 VPC 终端节点发出 API 请求。

有关更多信息,请参阅 Amazon VPC 用户指南中的 Amazon Web Service 使用接口 VPC 终端节点访问

为 Amazon Directory Service API 创建 VPC 终端节点策略

您可以为 VPC 终端节点附加控制对 Amazon Directory Service API 的访问的终端节点策略。该策略指定以下信息:

  • 可执行操作的主体。

  • 可执行的操作。

  • 可对其执行操作的资源。

有关更多信息,请参阅 Amazon VPC 用户指南中的使用终端节点策略控制 VPC 终端节点的访问权限

示例:适用于 Amazon Directory Service API 操作的 VPC 终端节点策略

以下是 Amazon Directory Service API 的终端节点策略示例。当您将此策略附加到您的接口终端节点时,它会向所有资源的所有委托人授予对所列 Amazon Directory Service API 操作的访问权限。

{
   "Statement": [
      {
         "Principal": "*",
         "Effect": "Allow",
         "Action": [
            "ds:DescribeDirectories",
            "ds:DescribeCertificate",
         ],
         "Resource":"*"
      }
   ]
}
示例:拒绝来自指定服务器的所有访问的 VPC 终端节点策略 Amazon Web Services 账户

以下 VPC 终端节点策略拒绝所有使用该终端节点访问资源的 Amazon Web Services 账户 123456789012。此策略允许来自其他账户的所有操作。

{
   "Statement": [
      {
         "Action": "*",
            "Effect": "Allow",
            "Resource": "*",
            "Principal:" "*"
      },
      {
        "Action": "*",
        "Effect": "Deny",
        "Resource": "*",
        "Principal": {
            "AWS": [
               "123456789012"
            ]
         }
      ]
}