本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
使用 Amazon Directory Service 接口端点访问 API- Amazon PrivateLink
您可以使用 Amazon PrivateLink 在您的 VPC 和 Amazon Directory Service API 之间创建私有连接。您可以像访问您的 VPC 一样访问 Amazon Directory Service API,无需使用互联网网关、NAT 设备、VPN 连接或 Amazon Direct Connect 连接。您的 VPC 中的实例不需要公有 IP 地址即可访问 Amazon Directory Service API。
您可以通过创建由 Amazon PrivateLink提供支持的接口端点来建立此私有连接。我们将在您为接口端点启用的每个子网中创建一个端点网络接口。这些是请求者托管的网络接口,用作发往 Amazon Directory Service的流量的入口点。
有关更多信息,请参阅Amazon PrivateLink 指南 Amazon PrivateLink中的Amazon Web Services 通过访问。
的注意事项 Amazon Directory Service
在为 Amazon Directory Service API 端点设置接口终端节点之前,请查看Amazon PrivateLink 指南中的注意事项。
Amazon Directory Service 支持通过接口端点调用其所有 API 操作。
可用性
Amazon Directory Service 支持以下 VPC 终端节点 Amazon Web Services 区域:
美国东部(弗吉尼亚州北部)
Amazon GovCloud (美国西部)
Amazon GovCloud (美国东部)
为创建接口终端节点 Amazon Directory Service
您可以使用 Amazon VPC 控制台或 Amazon Command Line Interface (Amazon CLI) 为 Amazon Directory Service API 创建接口终端节点。有关更多信息,请参阅《Amazon PrivateLink 指南》中的创建接口端点。
使用以下服务名称为 Amazon Directory Service API 创建接口终端节点:
com.amazonaws.region.ds
为 VPC 端点创建端点策略
端点策略是一种 IAM 资源,您可以将其附加到接口端点。默认终端节点策略允许通过接口终端节点对 Amazon Directory Service API 进行完全访问。要控制允许从 VPC 访问 Amazon Directory Service API 的权限,请将自定义终端节点策略附加到接口终端节点。
端点策略指定以下信息:
-
可执行操作的主体(Amazon Web Services 账户、IAM 用户和 IAM 角色)。
-
可执行的操作。
-
可对其执行操作的资源。
有关更多信息,请参阅《Amazon PrivateLink 指南》中的使用端点策略控制对服务的访问权限。
示例: Amazon Directory Service API 操作的 VPC 终端节点策略
以下是自定义端点策略的示例。当您将此策略附加到接口终端节点时,它会授予所有委托人对所有资源 Amazon Directory Service 执行所列操作的访问权限。将操作 1、操作 2 和操作 3 替换为要包含在策略中的 Amazon Directory Service API 所需的权限。有关完整列表,请参阅Amazon Directory Service API 权限:操作、资源和条件参考。
{ "Statement": [ { "Principal": "*", "Effect": "Allow", "Action": [ "ds:action-1", "ds:action-2", "ds:action-3" ], "Resource":"*" } ] }