使用 Amazon EFS 中的接口 VPC 终端节点 - Amazon Elastic File System
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

使用 Amazon EFS 中的接口 VPC 终端节点

要在 Virtual Private Cloud (VPC) 与 Amazon EFS API 之间建立专用连接,请创建接口 VPC 终端节点。您可以使用此连接从 VPC 调用 Amazon EFS API,而无需通过 Internet 发送流量。终端节点提供与 Amazon EFS API 的安全连接,无需互联网网关、NAT 实例或虚拟专用网络 (VPN) 连接。有关更多信息,请参阅 Amazon VPC 用户指南 中的接口 VPC 终端节点

接口 VPC 终端节点由 AWS PrivateLink 提供支持,此功能使用私有 IP 地址在 AWS 服务之间实现私有通信。要使用 AWS PrivateLink,请使用 Amazon VPC 控制台、API 或 CLI 在您的 VPC 中为 Amazon EFS 创建接口 VPC 终端节点。这样做会使用为 Amazon EFS API 请求提供服务的私有 IP 地址在您的子网中创建一个弹性网络接口。您还可以使用 AWS VPN、AWS Direct Connect 或 VPC 对等从本地环境或其他 VPC 访问 VPC 终端节点。要了解更多信息,请参阅 Amazon VPC 用户指南 中的通过 AWS PrivateLink 访问服务

为 Amazon EFS 创建接口终端节点

要为 Amazon EFS 创建接口 VPC 终端节点,请使用以下选项之一:

  • com.amazonaws.region.elasticfilesystem – 为 Amazon EFS API 操作创建终端节点。

  • com.amazonaws.region.elasticfilesystem-fips – 为符合美国联邦信息处理标准 (FIPS) 140-2 的 Amazon EFS API 创建终端节点。

有关完整的 Amazon EFS 终端节点列表,请参阅 Amazon Web Services 一般参考 中的Amazon Elastic File System

有关如何创建接口终端节点的详细信息,请参阅 Amazon VPC 用户指南 中的创建接口终端节点

为 Amazon EFS 创建 VPC 终端节点策略

要控制对 Amazon EFS API 的访问,您可以向 VPC 终端节点附加 AWS Identity and Access Management (IAM) 策略。此策略指定以下内容:

  • 可执行操作的委托人。

  • 可执行的操作。

  • 可对其执行操作的资源。

有关更多信息,请参阅 Amazon VPC 用户指南 中的使用 VPC 终端节点控制对服务的访问

以下示例显示了一个 VPC 终端节点策略,该策略拒绝所有人通过终端节点创建 EFS 文件系统的权限。示例策略还授予所有人执行所有其他操作的权限。

{ "Statement": [ { "Action": "*", "Effect": "Allow", "Resource": "*", "Principal": "*" }, { "Action": "elasticfilesystem:CreateFileSystem", "Effect": "Deny", "Resource": "*", "Principal": "*" } ] }

有关更多信息,请参阅 Amazon VPC 用户指南 中的使用 VPC 终端节点策略