使用 Amazon PrivateLink 的 Amazon Directory Service API 和接口 Amazon VPC 端点 - Amazon Directory Service
注意事项可用性创建接口 Amazon VPC 端点创建端点策略
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

使用 Amazon PrivateLink 的 Amazon Directory Service API 和接口 Amazon VPC 端点

您可以使用 Amazon PrivateLink 在您的 VPC 与 Amazon Directory Service 和 Directory Service Data API 之间创建私有连接。这使您能够像在 VPC 中一样访问 Amazon Directory Service 和 Directory Service Data API,而无需使用互联网网关、NAT 设备、VPN 连接或 Amazon Direct Connect 连接。Amazon VPC 中的实例不需要公共 IP 地址即可访问 Amazon Directory Service 和 Directory Service Data API。

要建立私有连接,可以创建 Amazon PrivateLink 支持的接口 Amazon VPC 端点。我们将在您为接口端点启用的每个子网中创建一个端点网络接口。这些是请求者托管的网络接口,用作发往 Amazon Directory Service 和 Amazon Directory Service Data 的流量的入口点。

有关更多信息,请参阅《Amazon PrivateLink 指南》中的通过 Amazon PrivateLink 访问 Amazon Web Services 服务

Amazon Directory Service 和 Directory Service Data 的注意事项

凭借 Amazon Directory Service 和 Directory Service Data,您可以通过接口端点调用 API 操作。有关在创建接口端点之前需要考虑的先决条件的信息,请参阅《Amazon PrivateLink 指南》中的使用接口 Amazon VPC 端点访问 Amazon Web Services 服务

Amazon Directory Service 和 Directory Service Data 可用性

Amazon Directory Service 和 Directory Service Data 在其可用的所有 Amazon Web Services 区域 支持接口端点。有关支持 Amazon Directory Service 和 Directory Service Data 的 Amazon Web Services 区域的信息,请参阅 Amazon Directory Service 的区域可用性

为 Amazon Directory Service 和 Directory Service Data 创建接口 Amazon VPC 端点

您可以使用 Amazon VPC 控制台或 Amazon Command Line Interface(Amazon CLI)为 Amazon Directory Service 和 Directory Service Data API 创建接口端点。

示例:Amazon Directory Service

使用以下服务名称为 Amazon Directory Service API 创建接口端点:

com.amazonaws.region.ds
示例:Directory Service Data

使用以下服务名称为 Directory Service Data API 创建接口端点:

com.amazonaws.region.ds-data

有关创建接口端点的更多信息,请参阅《Amazon PrivateLink 指南》中的使用接口 Amazon VPC 端点访问 Amazon Web Services 服务

为接口 Amazon VPC 端点创建 Amazon VPC 端点策略

端点策略是一种 IAM 资源策略,您可以将其附加到接口端点。

注意

如果您不将端点策略附加到接口端点,Amazon PrivateLink 可以代表您将默认端点策略附加到接口端点。有关更多信息,请参阅 Amazon PrivateLink 概念

端点策略指定以下信息:

  • 可执行操作的主体(Amazon Web Services 账户、IAM 用户和 IAM 角色)

  • 可执行的操作

  • 可对其执行操作的资源

有关更多信息,请参阅《Amazon PrivateLink 指南》中的使用端点策略控制对服务的访问权限

您可以通过将自定义端点策略附加到接口端点来控制从 Amazon VPC 访问 API 的权限。

示例:Amazon Directory Service API 操作的 Amazon VPC 端点策略

以下是自定义端点策略的一个示例。将此策略附加到接口端点时,其会向所有资源上的所有主体授予对列出的 Amazon Directory Service 操作的访问权限。

action-1action-2action-3 替换为您希望包含在策略中的 Amazon Directory Service API 所需的权限。有关完整列表,请参阅Amazon Directory Service API 权限:操作、资源和条件参考

{
   "Statement": [
      {
         "Principal": "*",
         "Effect": "Allow",
         "Action": [
            "ds:action-1",
            "ds:action-2",
            "ds:action-3"
         ],
         "Resource":"*"
      }
   ]
}
示例:Directory Service Data API 操作的 Amazon VPC 端点策略

以下是自定义端点策略的示例。将此策略附加到接口端点时,其会向所有资源上的所有主体授予对列出的 Directory Service Data 操作的访问权限。

action-1action-2action-3 替换为您希望包含在策略中的 Directory Service Data API 所需的权限。有关完整列表,请参阅Amazon Directory Service API 权限:操作、资源和条件参考

{
   "Statement": [
      {
         "Principal": "*",
         "Effect": "Allow",
         "Action": [
            "ds-data:action-1",
            "ds-data:action-2",
            "ds-data:action-3"
         ],
         "Resource":"*"
      }
   ]
}