Amazon Directory ServiceAPI 和接口 Amazon VPC 终端节点使用 Amazon PrivateLink - Amazon Directory Service
注意事项可用性创建接口 Amazon VPC 端点创建端点策略
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon Directory ServiceAPI 和接口 Amazon VPC 终端节点使用 Amazon PrivateLink

您可以使用Amazon PrivateLink在您的 VPC 和 Amazon Directory Service Directory Service 数据之间创建私有连接 APIs。这使您无需使用互联网网关Amazon Directory Service、NAT 设备、VPN 连接或Amazon Direct Connect连接即可 APIs像在 VPC 中一样访问和 Directory Service 数据。您的 Amazon VPC 中的实例不需要公有 IP 地址即可访问Amazon Directory Service和目录服务数据 APIs。

要建立私有连接,您需要创建一个接口 Amazon VPC 终端节点来Amazon PrivateLink提供支持。我们将在您为接口端点启用的每个子网中创建一个端点网络接口。这些是请求者管理的网络接口,它们是发往和 Directory Servic Amazon e Data 的流量Amazon Directory Service和入口点。

有关更多信息,请参阅Amazon PrivateLink指南Amazon PrivateLink中的Amazon Web Services 服务通过访问

Amazon Directory Service和 Directory Service 数据的注意事项

使用Amazon Directory Service和 Directory Service Data,您可以通过接口端点调用 API 操作。有关在创建接口终端节点之前需要考虑的先决条件的信息,请参阅Amazon PrivateLink指南中的Amazon Web Services 服务使用接口 Amazon VPC 终端节点访问

Amazon Directory Service和 Directory Service 数据可用

Amazon Directory Service而且 Directory Service Data 支持所有Amazon Web Services 区域可用的接口端点。有关Amazon Web Services 区域该支持Amazon Directory Service和 Directory Service 数据的信息,请参阅区域可用性Amazon Directory Service

为 Directory Service Data 创建接口 Amazon VPC 终端节点 Amazon Directory Service

您可以 APIs 使用 Amazon VPC 控制台或 Amazon Command Line Interface (Amazon CLI) 为Amazon Directory Service和 Directory Service Data 创建接口终端节点。

例如:Amazon Directory Service

Amazon Directory ServiceAPIs 使用以下服务名称创建接口终端节点:

com.amazonaws.region.ds
示例:Directory Service Data

APIs 使用以下服务名为 Directory Service Data 创建接口端点:

com.amazonaws.region.ds-data

有关创建接口终端节点的更多信息,请参阅Amazon PrivateLink指南中的Amazon Web Services 服务使用接口 Amazon VPC 终端节点访问

为接口 Amazon VPC 端点创建 Amazon VPC 端点策略

端点策略是一种 IAM 资源策略,您可以将其附加到接口端点。

注意

如果您不将端点策略附加到接口端点,Amazon PrivateLink 可以代表您将默认端点策略附加到接口端点。有关更多信息,请参阅 Amazon PrivateLink 概念

端点策略指定以下信息:

  • 可执行操作的主体(Amazon Web Services 账户、IAM 用户和 IAM 角色)

  • 可执行的操作

  • 可对其执行操作的资源

有关更多信息,请参阅《Amazon PrivateLink 指南》中的使用端点策略控制对服务的访问权限

您可以通过将自定义终端节点策略附加到接口终端节点来控制 APIs 从 Amazon VPC 访问的权限。

示例:适用于 Amazon Directory Service API 操作的 Amazon VPC 终端节点策略

以下是自定义端点策略的示例。当您将此策略附加到接口终端节点时,它会授予所有委托人对所有资源Amazon Directory Service执行所列操作的访问权限。

action-1action-2、和action-3,替换为要Amazon Directory ServiceAPIs 包含在策略中的所需的权限。有关完整列表,请参阅Amazon Directory ServiceAPI 权限:操作、资源和条件参考

{
   "Statement": [
      {
         "Principal": "*",
         "Effect": "Allow",
         "Action": [
            "ds:action-1",
            "ds:action-2",
            "ds:action-3"
         ],
         "Resource":"*"
      }
   ]
}
示例:Directory Service Data API 操作的 Amazon VPC 端点策略

以下是自定义端点策略的示例。将此策略附加到接口端点时,其会向所有资源上的所有主体授予对列出的 Directory Service Data 操作的访问权限。

action-1action-2、和action-3替换为要包含在策略中的 Directory Service 数据 APIs所需的权限。有关完整列表,请参阅Amazon Directory ServiceAPI 权限:操作、资源和条件参考

{
   "Statement": [
      {
         "Principal": "*",
         "Effect": "Allow",
         "Action": [
            "ds-data:action-1",
            "ds-data:action-2",
            "ds-data:action-3"
         ],
         "Resource":"*"
      }
   ]
}