在亚马逊 EFS 中使用接口 VPC 终端节点 - Amazon Elastic File System
为 Amazon EFS 创建接口终端节点为 Amazon EFS 创建 VPC 终端节点策略
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

在亚马逊 EFS 中使用接口 VPC 终端节点

要在 VirtVPC 与 Amazon EFS API 之间建立专用连接。该终端节点提供了到 Amazon EFS API 的安全连接,无需互联网网关、NAT 实例或虚拟专用网络 (VPN) 连接。有关更多信息,请参阅 Amazon VPC 用户指南中的接口 VPC 终端节点

接口 VPC 终端节点由提供支持AmazonPrivateLink,此功能使用私有 IP 地址在Amazon服务之间实现私有通信。要使用AmazonPrivateLink,请使用亚马逊 VPC 控制台、API 或 CLI 在您的 VPC 中为 Amazon EFS 创建接口 VPC 终端节点。此操作将在您的子网中创建一个带有私有 IP 地址的elastic network interface (Amazon EFS API) 请求。您还可以使用 Amazon VPN、Amazon Direct Connect 或 VPC 对等从本地环境或其他 VPC 访问 VPC 终端节点。要了解更多信息,请参阅 Amazon VPC 用户指南AmazonPrivateLink中的通过访问服务

为 Amazon EFS 创建接口终端节点

要为 Amazon EFS 创建接口 VPC 终端节点之一:

  • com.amazonaws.region.elasticfilesystem— 为亚马逊 EFS API 操作创建终端节点。

  • com.amazonaws.region.elasticfilesystem-fips— 为 Amazon EFS 创建 API 的终端节点以符合联邦信息处理标准 (FIPS) 140-2

有关 Amazon EFS 终端节点的完整列表,请参阅A mazon Elastic File Syst em Amazon Web Services 一般参考

有关如何创建接口终端节点的更多信息,请参阅 Amazon VPC 用户指南中的创建接口终端节点

为 Amazon EFS 创建 VPC 终端节点策略

要控制对 Amazon EFS API 的访问,您可以向 VPC 终端节点附加Amazon Identity and Access Management (IAM) 策略。此策略指定以下内容:

  • 可执行操作的委托人。

  • 可执行的操作。

  • 可对其执行操作的资源。

有关更多信息,请参阅《Amazon VPC 用户指南》中的使用 VPC 终端节点控制对服务的访问

以下示例显示了一个 VPC 终端节点策略,该策略拒绝所有人通过终端节点创建 EFS 文件系统的权限。示例策略还授予所有人执行所有其他操作的权限。

{
   "Statement": [
        {
            "Action": "*",
            "Effect": "Allow",
            "Resource": "*",
            "Principal": "*"
        },
        {
            "Action": "elasticfilesystem:CreateFileSystem",
            "Effect": "Deny",
            "Resource": "*",
            "Principal": "*"
        }
    ]
}

有关更多信息,请参阅 Amazon VPC 用户指南中的使用 VPC 终端节点策略