使用 Amazon EFS 中的接口 VPC 终端节点 - Amazon Elastic File System
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用 Amazon EFS 中的接口 VPC 终端节点

要在 Virtual Private Cloud (VPC) 与 Amazon EFS API 之间建立专用连接,请创建接口 VPC 终端节点。您可以使用此连接从 VPC 调用 Amazon EFS API,而无需通过 Internet 发送流量。终端节点提供与 Amazon EFS API 的安全连接,无需互联网网关、NAT 实例或虚拟专用网络 (VPN) 连接。有关更多信息,请参阅 。接口 VPC 终端节点中的Amazon VPC 用户指南

接口 VPC 终端节点由Amazon私有 PrivateLink,这是一种功能,可以实现Amazon使用私有 IP 地址的服务。使用AmazonPrivateLink,请使用 Amazon VPC 控制台、API 或 CLI 在您的 VPC 中为 Amazon EFS 创建接口 VPC 终端节点。这样做会使用为 Amazon EFS API 请求提供服务的私有 IP 地址在您的子网中创建一个 elastic network interface。您还可以使用 Amazon VPN、Amazon Direct Connect 或 VPC 对等从本地环境或其他 VPC 访问 VPC 终端节点。要了解更多信息,请参阅通过访问服务AmazonPrivateLink中的Amazon VPC 用户指南

为 Amazon EFS 创建接口终端节点

要为 Amazon EFS 创建接口 VPC 终端节点,请使用以下选项之一:

  • com.amazonaws.region.elasticfilesystem— 为 Amazon EFS API 操作创建终端节点。

  • com.amazonaws.region.elasticfilesystem-fips— 为 Amazon EFS API 创建终端节点,该终端节点符合美国联邦信息处理标准 (FIPS) 140-2

有关 Amazon EFS 终端节点的完整列表,请参阅Amazon Elastic File System中的Amazon Web Services 一般参考

有关如何创建接口终端节点的更多信息,请参阅创建接口终端节点中的Amazon VPC 用户指南

为 Amazon EFS 创建 VPC 终端节点策略

要控制对 Amazon EFS API 的访问,您可以将Amazon Identity and Access Management(IAM) 策略添加到您的 VPC 终端节点。此策略指定以下内容:

  • 可执行操作的委托人。

  • 可执行的操作。

  • 可对其执行操作的资源。

有关更多信息,请参阅 Amazon VPC 用户指南中的使用 VPC 终端节点控制对服务的访问

以下示例显示了一个 VPC 终端节点策略,该策略拒绝所有人通过终端节点创建 EFS 文件系统的权限。示例策略还授予所有人执行所有其他操作的权限。

{ "Statement": [ { "Action": "*", "Effect": "Allow", "Resource": "*", "Principal": "*" }, { "Action": "elasticfilesystem:CreateFileSystem", "Effect": "Deny", "Resource": "*", "Principal": "*" } ] }

有关更多信息,请参阅 。使用 VPC 终端节点策略中的Amazon VPC 用户指南