# 为 Amazon Glue（Amazon PrivateLink）配置接口 VPC 端点（Amazon PrivateLink）
为 Amazon Glue 配置接口 VPC 端点（Amazon PrivateLink）

您可以通过创建*接口 VPC 端点*在 VPC 和 Amazon Glue 之间建立私有连接。接口端点由 [Amazon PrivateLink](https://www.amazonaws.cn/privatelink) 提供支持，该技术支持您通过私密方式访问 Amazon Glue API，而无需互联网网关、NAT 设备、VPN 连接或 Amazon Direct Connect 连接。VPC 中的实例即使没有公有 IP 地址也可与 Amazon Glue API 进行通信。VPC 和 Amazon Glue 之间的流量不会脱离 Amazon 网络。

每个接口终端节点均由子网中的一个或多个[弹性网络接口](https://docs.amazonaws.cn/AWSEC2/latest/UserGuide/using-eni.html)表示。

有关更多信息，请参阅《Amazon VPC 用户指南》**中的[接口 VPC 端点（Amazon PrivateLink）](https://docs.amazonaws.cn/vpc/latest/userguide/vpce-interface.html)。

## Amazon Glue VPC 端点注意事项


请务必先查看 *Amazon VPC 用户指南*中的[接口端点属性和限制](https://docs.amazonaws.cn/vpc/latest/userguide/vpce-interface.html#vpce-interface-limitations)，然后再为 Amazon Glue 设置接口 VPC 终端节点。

Amazon Glue 支持从 VPC 调用它的所有 API 操作。

## 为 Amazon Glue 创建接口 VPC 端点


您可以使用 Amazon VPC 控制台或 Amazon Command Line Interface (Amazon CLI) 为 Amazon Glue 服务创建 VPC 端点。有关更多信息，请参阅《Amazon VPC 用户指南》**中的[创建接口端点](https://docs.amazonaws.cn/vpc/latest/userguide/vpce-interface.html#create-interface-endpoint)

使用以下服务名称为 Amazon Glue 创建 VPC 端点：
+ com.amazonaws.*region*.glue

如果为端点启用私有 DNS，则可以使用其默认 DNS 名称作为区域，向 Amazon Glue 发送 API 请求，例如 `glue.us-east-1.amazonaws.com`。

有关更多信息，请参阅《Amazon VPC 用户指南》**中的[通过接口端点访问服务](https://docs.amazonaws.cn/vpc/latest/userguide/vpce-interface.html#access-service-though-endpoint)。

## 为 Amazon Glue 创建 VPC 端点策略


您可以为 VPC 端点附加控制对 Amazon Glue 的访问的端点策略。该策略指定以下信息：
+ 可执行操作的主体。
+ 可执行的操作。
+ 可对其执行操作的资源。

有关更多信息，请参阅《Amazon VPC 用户指南》**中的[使用 VPC 端点控制对服务的访问](https://docs.amazonaws.cn/vpc/latest/userguide/vpc-endpoints-access.html)。

**示例：适用于 Amazon Glue 允许创建和更新任务的 VPC 终端节点策略**  
下面是用于 Amazon Glue 的端点策略示例。当附加到端点时，此策略会向所有资源上的所有主体授予对列出的 Amazon Glue 操作的访问权限。

```
{
  "Statement": [
    {
      "Sid": "RestrictPassRole",
      "Effect": "Allow",
      "Action": "iam:PassRole",
      "Resource": "arn:aws:iam::123456789012:role/GlueServiceRole*",
      "Condition": {
        "StringEquals": {
          "iam:PassedToService": "glue.amazonaws.com"
        }
      }
    }
  ]
}
```

**示例：允许只读数据目录访问的 VPC 终端节点策略**  
下面是用于 Amazon Glue 的端点策略示例。当附加到端点时，此策略会向所有资源上的所有主体授予对列出的 Amazon Glue 操作的访问权限。

```
{
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "glue:GetDatabase",
        "glue:GetDatabases",
        "glue:GetTable",
        "glue:GetTables",
        "glue:GetTableVersion",
        "glue:GetTableVersions",
        "glue:GetPartition",
        "glue:GetPartitions",
        "glue:BatchGetPartition",
        "glue:SearchTables"
      ],
      "Resource": "*"
    }
  ]
}
```