在 Amazon 中使用接口VPC终端节点 EFS - Amazon Elastic File System
创建接口终端节点创建终端节点策略
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

在 Amazon 中使用接口VPC终端节点 EFS

要在您的虚拟私有云 (VPC) 和 Amazon 之间建立私有连接 EFSAPI,您可以创建一个接口VPC终端节点。该终端节点EFSAPI无需互联网网关、NAT实例或虚拟专用网络 (VPN) 连接即可提供与 Amazon 的安全连接。有关更多信息,请参阅 Amazon VPC 用户指南中的接口VPC终端节点

接口VPC端点由该功能提供支持 Amazon PrivateLink,该功能允许使用私有 IP 地址在 Amazon 服务之间进行私有通信。要使用 Amazon PrivateLink,请使用亚马逊VPC控制台EFS在您的VPC中为亚马逊创建接口VPC终端节点API,或CLI。这样做会在您的子网中创建一个带有私有 IP 地址的弹性网络接口,用于处理 Amazon EFS API 请求。您也可以VPCs使用 Amazon VPN、 Amazon Direct Connect或对等互VPC连从本地环境或其他环境访问VPC终端节点。要了解更多信息,请参阅《Amazon VPC 用户指南》 Amazon PrivateLink中的 “通过以下方式访问服务”。

为 Amazon 创建接口终端节点 EFS

要为 Amazon 创建接口VPC终端节点EFS,请使用以下方法之一:

  • com.amazonaws.region.elasticfilesystem— 为亚马逊EFSAPI运营创建终端节点。

  • com.amazonaws.region.elasticfilesystem-fips— 为亚马逊创建EFSAPI符合联邦信息处理标准 (FIPS) 140-2 的终端节点。

有关亚马逊EFS终端节点的完整列表,请参阅中的 Amazon Elastic File Syst em Amazon Web Services 一般参考

有关如何创建接口终端节点的更多信息,请参阅 Amazon VPC 用户指南中的创建接口终端节点

为 Amazon 创建VPC终端节点策略 EFS

要控制对 Amazon 的访问权限 EFSAPI,您可以将 Amazon Identity and Access Management (IAM) 策略附加到您的VPC终端节点。此策略指定以下内容:

  • 可执行操作的主体。

  • 可执行的操作。

  • 可对其执行操作的资源。

有关更多信息,请参阅 Amazon VPC 用户指南中的使用VPC终端节点控制对服务的访问

以下示例显示了一个VPC终端节点策略,该策略拒绝所有人通过终端节点创建EFS文件系统的权限。示例策略还授予所有人执行所有其他操作的权限。

{
   "Statement": [
        {
            "Action": "*",
            "Effect": "Allow",
            "Resource": "*",
            "Principal": "*"
        },
        {
            "Action": "elasticfilesystem:CreateFileSystem",
            "Effect": "Deny",
            "Resource": "*",
            "Principal": "*"
        }
    ]
}

有关更多信息,请参阅 Amazon VPC 用户指南中的使用VPC终端节点策略