Amazon Directory Service API并使用接口 Amazon VPC 终端节点 Amazon PrivateLink - Amazon Directory Service
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon Directory Service API并使用接口 Amazon VPC 终端节点 Amazon PrivateLink

您可以使用 Amazon PrivateLink 在VPC和 Amazon Directory Service 和 Directory Service Data 之间创建私有连接APIs。这样,您就可以在不使用互联网网关、NAT设备、连接或VPN Amazon Direct Connect 连接的情况下访问 Amazon Directory Service VPC和 Directory Service 数据,APIs就像它们在您的存储中一样。您的 Amazon 中的实例VPC不需要公有 IP 地址即可访问 Amazon Directory Service 和目录服务数据APIs。

要建立私有连接,您需要创建一个接口 Amazon VPC 终端节点来 Amazon PrivateLink 提供支持。我们将在您为接口端点启用的每个子网中创建一个端点网络接口。这些是请求者管理的网络接口,它们是发往和 Directory Servic Amazon e Data 的流量 Amazon Directory Service 和入口点。

有关更多信息,请参阅Amazon PrivateLink 指南 Amazon PrivateLink中的Amazon Web Services 服务 直通访问

Amazon Directory Service 和 Directory Service 数据的注意事项

使用 Amazon Directory Service 和 Directory Service Data,您可以通过接口端点调用API操作。有关在创建接口终端节点之前需要考虑的先决条件的信息,请参阅Amazon PrivateLink 指南中的Amazon Web Services 服务 使用接口 Amazon VPC 终端节点访问

Amazon Directory Service 和目录服务数据可用性

Amazon Directory Service 支持以下接口端点 Amazon Web Services 区域:

  • 美国东部(弗吉尼亚州北部)

  • Amazon GovCloud (美国东部)

  • Amazon GovCloud (美国西部)

Directory Service Data 支持所有 Amazon Web Services 区域 可用的接口端点。有关 Amazon Web Services 区域 该支持 Amazon Directory Service 和 Directory Service 数据的信息,请参阅区域可用性 Amazon Directory Service

为 Directory Service Data 创建接口 Amazon VPC 终端节点 Amazon Directory Service

您可以APIs使用 Amazon VPC 控制台或 Amazon Command Line Interface (Amazon CLI) 为 Amazon Directory Service 和 Directory Service Data 创建接口终端节点。

例如: Amazon Directory Service

Amazon Directory Service APIs使用以下服务名称创建接口终端节点:

com.amazonaws.region.ds
示例:Directory 服务数据

APIs使用以下服务名为 Directory Service Data 创建接口端点:

com.amazonaws.region.ds-data

有关创建接口终端节点的更多信息,请参阅Amazon PrivateLink 指南中的Amazon Web Services 服务 使用接口 Amazon VPC 终端节点访问

为您的接口创建亚马逊VPC终端节点策略 Amazon VPC 终端节点

终端节点策略是您附加到接口终端节点的IAM资源策略。

注意

如果您未将终端节点策略附加到接口终端节点,请代表您向接口终端节点 Amazon PrivateLink 附加默认终端节点策略。有关更多信息,请参阅 Amazon PrivateLink 概念

端点策略指定以下信息:

  • 可以执行操作的委托人(Amazon Web Services 账户、IAM用户和IAM角色)

  • 可执行的操作

  • 可以对其执行操作的资源

有关更多信息,请参阅《Amazon PrivateLink 指南》中的使用端点策略控制对服务的访问权限

您可以通过将自定义终端节点策略附加APIs到您的接口终端节点VPC来控制从您的 Amazon 访问的权限。

示例:Amazon VPC 终端节点 Amazon Directory Service API操作策略

以下是自定义端点策略的示例。当您将此策略附加到接口终端节点时,它会授予所有委托人对所有资源 Amazon Directory Service 执行所列操作的访问权限。

Replace(替换) action-1, action-2,以及 action-3 具有您想要包含在策略中的所需的权限。 Amazon Directory Service APIs有关完整列表,请参阅Amazon Directory Service API权限:操作、资源和条件参考

{ "Statement": [ { "Principal": "*", "Effect": "Allow", "Action": [ "ds:action-1", "ds:action-2", "ds:action-3" ], "Resource":"*" } ] }
示例:Directory Service Data API 操作的亚马逊VPC终端节点策略

以下是自定义端点策略的示例。当您将此策略附加到接口终端节点时,它会向所有资源的所有委托人授予访问列出的 Directory Service Data 操作的权限。

Replace(替换) action-1, action-2,以及 action-3 拥有您想要包含在策略中的目录服务数据APIs所需的权限。有关完整列表,请参阅Amazon Directory Service API权限:操作、资源和条件参考

{ "Statement": [ { "Principal": "*", "Effect": "Allow", "Action": [ "ds-data:action-1", "ds-data:action-2", "ds-data:action-3" ], "Resource":"*" } ] }