使用 Amazon EFS 中的接口 VPC 端点
要在虚拟私有云(VPC)与 Amazon EFS API 之间建立专用连接,可以创建接口 VPC 端点。端点提供与 Amazon EFS API 的安全连接,无需互联网网关、NAT 实例或虚拟专用网络(VPN)连接。有关更多信息,请参阅 Amazon VPC 用户指南中的接口 VPC 终端节点。
接口 VPC 终端节点由 Amazon PrivateLink 提供支持,此功能使用私有 IP 地址在Amazon服务之间实现私有通信。要使用 Amazon PrivateLink,请使用 Amazon VPC 控制台、API 或 CLI 在您的 VPC 中为 Amazon EFS 创建接口 VPC 端点。这样做会使用为 Amazon EFS API 请求提供服务的私有 IP 地址在您的子网中创建一个弹性网络接口。您还可以使用 Amazon VPN、Amazon Direct Connect 或 VPC 对等从本地环境或其他 VPC 访问 VPC 终端节点。要了解更多信息,请参阅《Amazon VPC 用户指南》中的通过 Amazon 私有链接访问服务。
为 Amazon EFS 创建接口端点
要为 Amazon EFS 创建接口 VPC 端点,请执行以下操作之一:
-
com.amazonaws.
– 为 Amazon EFS API 操作创建端点。region
.elasticfilesystem -
com.amazonaws.
– 为 Amazon EFS API 创建符合美国联邦信息处理标准(FIPS)140-2region
.elasticfilesystem-fips的端点。
有关 Amazon EFS 端点的完整列表,请参阅《Amazon Web Services 一般参考》中的 Amazon Elastic File System。
有关如何创建接口端点的更多信息,请参阅《Amazon VPC 用户指南》中的创建接口端点。
为 Amazon EFS 创建 VPC 端点策略
要控制对 Amazon EFS API 的访问,您可以向 VPC 端点附加 Amazon Identity and Access Management(IAM)策略。此策略指定以下内容:
-
可执行操作的主体。
-
可执行的操作。
-
可对其执行操作的资源。
有关更多信息,请参阅《Amazon VPC 用户指南》中的使用 VPC 端点控制对服务的访问权限。
以下示例显示了一个 VPC 终端节点策略,该策略拒绝所有人通过终端节点创建 EFS 文件系统的权限。示例策略还授予所有人执行所有其他操作的权限。
{ "Statement": [ { "Action": "*", "Effect": "Allow", "Resource": "*", "Principal": "*" }, { "Action": "elasticfilesystem:CreateFileSystem", "Effect": "Deny", "Resource": "*", "Principal": "*" } ] }
有关更多信息,请参阅《Amazon VPC 用户指南》中的使用 VPC 端点策略。