在 VPC 和 EBS 直接连接之间创建私有连接 APIs - Amazon EBS
EBS 直接 APIs VPC 终端节点的注意事项为 EBS Direct 创建接口 VPC 终端节点 APIs
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

在 VPC 和 EBS 直接连接之间创建私有连接 APIs

您可以创建 APIs 由提供支持的接口 VPC 终端节点,从而在您的 VPC 和 EBS 之间直接建立私有连接。Amazon PrivateLink您可以直接访问 EBS, APIs 就像在 VPC 中一样,无需使用互联网网关、NAT 设备、VPN 连接或 Amazon Direct Connect 连接。您的 VPC 中的实例不需要公有 IP 地址即可直接 APIs与 EBS 通信。

我们将在您为接口端点启用的每个子网中创建一个端点网络接口。

有关更多信息,请参阅Amazon PrivateLink 指南 Amazon PrivateLink中的Amazon Web Services 服务 通过访问

EBS 直接 APIs VPC 终端节点的注意事项

在为 EBS Direct 设置接口 VPC 终端节点之前 APIs,请查看Amazon PrivateLink 指南中的注意事项

默认情况下,允许通过终端节点对 EBS D APIs irect 进行完全访问。您可以使用 VPC 端点策略控制对接口端点的访问。您可以将终端节点策略附加到控制直接 APIs访问 EBS 的 VPC 终端节点。该策略指定以下信息:

  • 可执行操作的主体

  • 可执行的操作

  • 可对其执行操作的资源

有关更多信息,请参阅 Amazon VPC 用户指南中的使用 VPC 终端节点控制对服务的访问

以下是 EBS Direc APIs t 的终端节点策略示例。当连接到终端节点时,此策略授予对所有资源的所有 EBS 直接 APIs 操作的访问权限,但标有密钥Environment和值Test的快照除外。

{
    "Statement": [
        {
            "Effect": "Deny",
            "Action": "ebs:*",
            "Principal": "*",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/Environment": "Test"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "ebs:*",
            "Principal": "*",
            "Resource": "*"
        }
    ]
}

为 EBS Direct 创建接口 VPC 终端节点 APIs

您可以 APIs 使用 Amazon VPC 控制台或 Amazon Command Line Interface (Amazon CLI) 直接为 EBS 创建 VPC 终端节点。有关更多信息,请参阅 Amazon PrivateLink 指南中的创建 VPC 终端节点

APIs 使用以下服务名称之一为 EBS Direct 创建 VPC 终端节点:

  • com.amazonaws.region.ebs

  • com.amazonaws.region.ebs-fips— 创建符合联邦信息处理标准 (FIPS) 出版物 140-2 美国政府标准的接口 VPC 终端节点。

    注意

    可以为以下区域创建符合 FIPS 的接口 VPC 终端节点:us-east-1| | | us-east-2 | us-west-1 | us-west-2ca-central-1 ca-west-1符合 FIPS 的接口 VPC 终端节点同时支持和流量 IPv4 。 IPv6

例如,如果您为终端节点启用私有 DNS,则可以使用该区域的默认 DNS 名称直接 APIs 向 EBS 发出 API 请求。ebs.us-east-1.amazonaws.com