Amazon Directory Service 使用的 API 和接口 Amazon VPC 端点 Amazon PrivateLink - Amazon Directory Service
注意事项可用性创建接口 Amazon VPC 端点创建端点策略
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon Directory Service 使用的 API 和接口 Amazon VPC 端点 Amazon PrivateLink

您可以使用 Amazon PrivateLink 在您的 VPC 与和 Amazon Directory Service Directory Service Data 之间创建私有连接 APIs。这使您能够 APIs 像在 VPC 中一样访问 Amazon Directory Service 和 Directory Service Data,而无需使用互联网网关、NAT 设备、VPN Amazon Direct Connect 连接或连接。Amazon VPC 中的实例不需要公共 IP 地址即可访问 Amazon Directory Service 和 Directory Service Directory Service Data APIs。

要建立私有连接,可以创建支持的接口 Amazon VPC 端 Amazon PrivateLink 点。我们将在您为接口端点启用的每个子网中创建一个端点网络接口。这些是请求者托管的网络接口,用作发往 Amazon Directory Service 和 Directory Servic Amazon e Data 的流量的入口点。

有关更多信息,请参阅Amazon PrivateLink 指南 Amazon PrivateLink中的Amazon Web Services 服务 直通访问

and Directory S Amazon Directory Service ervice Data

凭借 Amazon Directory Service 和 Directory Service Data,您可以通过接口端点调用 API 操作。有关在创建接口端点之前需要考虑的先决条件的信息,请参阅Amazon PrivateLink 《指南》中的Amazon Web Services 服务 使用接口 Amazon VPC 端点访问

Amazon Directory Service 和 Directory Service Dat

Amazon Directory Service 支持以下接口端点 Amazon Web Services 区域:

  • 美国东部(弗吉尼亚州北部)

  • Amazon GovCloud (美国东部)

  • Amazon GovCloud (美国西部)

Directory Service Data 在其可 Amazon Web Services 区域 用的所有支持接口端点。有关 Amazon Web Services 区域 该支持 Amazon Directory Service 和 Directory Service 数据的信息,请参阅区域可用性 Amazon Directory Service

为 Directory Service Data 创建接口 Amazon VPC 端点 Amazon Directory Service

您可以 APIs 使用 Amazon VPC 控制台或 Amazon Command Line Interface (Amazon CLI) 为 Amazon Directory Service 和 Directory Service Data 创建接口终端节点。

例如: Amazon Directory Service

Amazon Directory Service APIs 使用以下服务名称为创建接口端点:

com.amazonaws.region.ds
示例:Directory Service Data

APIs 使用以下服务名称为 Directory Service Data 创建接口端点:

com.amazonaws.region.ds-data

有关创建接口端点的更多信息,请参阅Amazon PrivateLink 指南中的Amazon Web Services 服务 使用接口 Amazon VPC 端点访问

为接口 Amazon VPC 端点创建 Amazon VPC 端点策略

端点策略是一种 IAM 资源策略,您可以将其附加到接口端点。

注意

如果您不将端点策略附加到接口端点, Amazon PrivateLink 可以代表您将默认端点策略附加到接口端点。有关更多信息,请参阅 Amazon PrivateLink 概念

端点策略指定以下信息:

  • 可执行操作的主体(Amazon Web Services 账户、IAM 用户和 IAM 角色)

  • 可执行的操作

  • 可对其执行操作的资源

有关更多信息,请参阅《Amazon PrivateLink 指南》中的使用端点策略控制对服务的访问权限

您可以通过将自定义端点策略附加到接口端点来控制 APIs 从 Amazon VPC 访问的权限。

示例: Amazon Directory Service API 操作的 Amazon VPC 端点策略

以下是自定义端点策略的示例。将此策略附加到接口端点时,其会向所有资源上的所有主体授予对列出的 Amazon Directory Service 操作的访问权限。

action-1action-2、和action-3,替换为要 Amazon Directory Service APIs 包含在策略中的所需的权限。有关完整列表,请参阅Amazon Directory Service API 权限:操作、资源和条件参考

{
   "Statement": [
      {
         "Principal": "*",
         "Effect": "Allow",
         "Action": [
            "ds:action-1",
            "ds:action-2",
            "ds:action-3"
         ],
         "Resource":"*"
      }
   ]
}
示例:Directory Service Data API 操作的 Amazon VPC 端点策略

以下是自定义端点策略的示例。将此策略附加到接口端点时,其会向所有资源上的所有主体授予对列出的 Directory Service Data 操作的访问权限。

action-1action-2、和action-3替换为您希望包含在策略中的 Directory Service Data APIs 所需的权限。有关完整列表,请参阅Amazon Directory Service API 权限:操作、资源和条件参考

{
   "Statement": [
      {
         "Principal": "*",
         "Effect": "Allow",
         "Action": [
            "ds-data:action-1",
            "ds-data:action-2",
            "ds-data:action-3"
         ],
         "Resource":"*"
      }
   ]
}