终止支持通知：2026 年 10 月 7 日， Amazon 将停止对的支持。 Amazon IoT Greengrass Version 1 2026 年 10 月 7 日之后，您将无法再访问这些 Amazon IoT Greengrass V1 资源。如需了解更多信息，请访问[迁移自 Amazon IoT Greengrass Version 1](https://docs.amazonaws.cn/greengrass/v2/developerguide/migrate-from-v1.html)。

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# Amazon IoT Greengrass 和接口 VPC 终端节点 (Amazon PrivateLink)
<a name="vpc-interface-endpoints"></a>

您可以通过创建接*口 VPC 终端节点在您的 VPC 和 Amazon IoT Greengrass 控制平面之间建立私有*连接。您可以使用此终端节点来管理服务中的群组、Lambda 函数、部署和其他资源。 Amazon IoT Greengrass 接口端点由一项技术提供支持 [Amazon PrivateLink](https://www.amazonaws.cn/privatelink)，该技术使您无需互联网网关、NAT 设备、VPN 连接或 Di Amazon rect Connect 连接即可私下访问 Amazon IoT Greengrass API。您的 VPC 中的实例不需要公有 IP 地址即可与 Amazon IoT Greengrass API 通信。您的 VPC 和 VPC 之间的流量 Amazon IoT Greengrass 不会离开亚马逊网络。

**注意**  
目前，您无法将 Greengrass 核心设备配置为完全在您的 VPC 内部运行。

每个接口端点均由子网中的一个或多个[弹性网络接口](https://docs.amazonaws.cn/AWSEC2/latest/UserGuide/using-eni.html)表示。

有关更多信息，请参阅《Amazon VPC 用户指南》**中的[接口 VPC 端点 (Amazon PrivateLink)](https://docs.amazonaws.cn/vpc/latest/userguide/vpce-interface.html)。

**Topics**
+ [Amazon IoT Greengrass VPC 终端节点的注意事项](#vpc-endpoint-considerations)
+ [为 Amazon IoT Greengrass 控制平面操作创建接口 VPC 终端节点](#create-vpc-endpoint-control-plane)
+ [为创建 VPC 终端节点策略 Amazon IoT Greengrass](#vpc-endpoint-policy)

## Amazon IoT Greengrass VPC 终端节点的注意事项
<a name="vpc-endpoint-considerations"></a>

在为设置接口 VPC 终端节点之前 Amazon IoT Greengrass，请查看 *Amazon VPC 用户指南*中的[接口终端节点属性和限制](https://docs.amazonaws.cn/vpc/latest/userguide/vpce-interface.html#vpce-interface-limitations)。此外，请了解以下注意事项：
+ Amazon IoT Greengrass 支持从您的 VPC 调用其所有控制平面 API 操作。控制平面包括[CreateDeployment](https://docs.amazonaws.cn/greengrass/v1/apireference/createdeployment-post.html)和等操作[StartBulkDeployment](https://docs.amazonaws.cn/greengrass/v1/apireference/startbulkdeployment-post.html)。控制平面*不*包括诸如[GetDeployment](device-auth.md#iot-policies)和 D [iscover](gg-discover-api.md) 之类的操作，它们是数据平面操作。
+  Amazon 中国区域目前不支持 Amazon IoT Greengrass 的 VPC 终端节点。

## 为 Amazon IoT Greengrass 控制平面操作创建接口 VPC 终端节点
<a name="create-vpc-endpoint-control-plane"></a>

您可以使用 Amazon VPC Amazon IoT Greengrass 控制台或 Amazon Command Line Interface (Amazon CLI) 为控制平面创建 VPC 终端节点。有关更多信息，请参阅《Amazon VPC User Guide》**中的 [Creating an interface endpoint](https://docs.amazonaws.cn/vpc/latest/userguide/vpce-interface.html#create-interface-endpoint)。

 Amazon IoT Greengrass 使用以下服务名称创建 VPC 终端节点：
+ com.amazonaws。 {{region}}.greengrass

例如，如果您为终端节点启用私有 DNS，则可以使用该终端节点的默认 DNS 名称向 Amazon IoT Greengrass 发出 API 请求`greengrass.us-east-1.amazonaws.com`。默认情况下将启用私有 DNS。

有关更多信息，请参阅《Amazon VPC 用户指南》**中的[通过接口端点访问服务](https://docs.amazonaws.cn/vpc/latest/userguide/vpce-interface.html#access-service-though-endpoint)。

## 为创建 VPC 终端节点策略 Amazon IoT Greengrass
<a name="vpc-endpoint-policy"></a>

您可以为 VPC 端点附加控制对 Amazon IoT Greengrass 控制面板操作的访问的端点策略。该策略指定以下信息：
+ 可执行操作的主体。
+ 主体可以执行的操作。
+ 主体可以对其执行操作的资源。

有关更多信息，请参阅《Amazon VPC User Guide》**中的 [Controlling access to services with VPC endpoints](https://docs.amazonaws.cn/vpc/latest/userguide/vpc-endpoints-access.html)。

**Example 示例：用于 Amazon IoT Greengrass 操作的 VPC 终端节点策略**  
以下是的终端节点策略示例 Amazon IoT Greengrass。当连接到终端节点时，此策略授予所有委托人对所有资源 Amazon IoT Greengrass 执行所列操作的访问权限。  

```
{
    "Statement": [
        {
            "Principal": "*",
            "Effect": "Allow",
            "Action": [
                "greengrass:CreateDeployment",
                "greengrass:StartBulkDeployment"
            ],
            "Resource": "*"
        }
    ]
}
```