本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # Amazon Lake Formation 和接口 VPC 终端节点 (Amazon PrivateLink) 设置 Amazon VPC 端点 (Amazon PrivateLink) Amazon VPC 是一项 Amazon 服务,可用于在您定义的虚拟网络中启动 Amazon 资源。借助 VPC,您可以控制您的网络设置,如 IP 地址范围、子网、路由表和网络网关。 如果您使用亚马逊虚拟私有云(亚马逊 VPC)托管 Amazon 资源,则可以在您的 VPC 和 Lake Formation 之间建立私有连接。您可以使用此连接,以便 Lake Formation 可以与 VPC 中的资源进行通信,而无需访问公共 Internet。 您可以通过创建接*口 VPC 终端节点在您 Amazon Lake Formation 的 VPC* 和之间建立私有连接。接口端点由一项技术提供支持 [Amazon PrivateLink](https://www.amazonaws.cn/privatelink),该技术使您 APIs 无需互联网网关、NAT 设备、VPN 连接或 Amazon Direct Connect 连接即可私密访问 Lake Formation。您的 VPC 中的实例不需要公有 IP 地址即可与 Lake Formation 通信 APIs。您的 VPC 和 Lake Formation 之间的流量不会脱离 Amazon 网络。 每个接口端点均由子网中的一个或多个[弹性网络接口](https://docs.amazonaws.cn/AWSEC2/latest/UserGuide/using-eni.html)表示。 有关更多信息,请参阅《Amazon VPC 用户指南》**中的[接口 VPC 端点 (Amazon PrivateLink)](https://docs.amazonaws.cn/vpc/latest/userguide/vpce-interface.html)。 ## Lake Formation VPC 端点的注意事项 请务必先查看《Amazon VPC 用户指南》中的[接口端点属性和限制](https://docs.amazonaws.cn/vpc/latest/userguide/vpce-interface.html#vpce-interface-limitations),然后再为 Lake Formation 设置接口 VPC 端点。** Lake Formation 支持从您的 VPC 调用其所有 API 操作。在所有同时支持 Lake Formation 和 Amazon VPC 终端节点的终端节点中 Amazon Web Services 区域 ,你可以将 Lake Formation 与 VPC 终端节点配合使用。 ## 为 Lake Formation 创建接口 VPC 端点 您可以使用亚马逊 VPC 控制台或 Amazon Command Line Interface (Amazon CLI) 为 Lake Formation 服务创建 VPC 终端节点。有关更多信息,请参阅《Amazon VPC 用户指南》中的[创建接口端点](https://docs.amazonaws.cn/vpc/latest/userguide/vpce-interface.html#create-interface-endpoint)。** 使用以下服务名称为 Lake Formation 创建 VPC 端点: + com.amazonaws。 *region*.lakefor 如果为端点启用私有 DNS,则可以使用该区域的默认 DNS 名称,向 Lake Formation 发送 API 请求,例如 `lakeformation.us-east-1.amazonaws.com`。 有关更多信息,请参阅《Amazon VPC 用户指南》**中的[通过接口端点访问服务](https://docs.amazonaws.cn/vpc/latest/userguide/vpce-interface.html#access-service-though-endpoint)。 ## 为 Lake Formation 创建 VPC 端点策略 Lake Formation 支持 VPC 端点策略。终端节点策略是一种基于资源的策略,您可以将其附加到 VPC 终端节点,用于控制哪些 Amazon 委托人可以使用该终端节点访问服务。 Amazon 您可以将端点策略附加到控制对 Lake Formation 的访问的 VPC 端点。该策略指定以下信息: + 可执行操作的主体。 + 可执行的操作。 + 可对其执行操作的资源。 有关更多信息,请参阅《Amazon VPC 用户指南》**中的[使用 VPC 端点控制对服务的访问](https://docs.amazonaws.cn/vpc/latest/userguide/vpc-endpoints-access.html)。 **示例:Lake Formation 操作的 VPC 端点策略** 以下 Lake Formation 的 VPC 端点策略示例允许使用 Lake Formation 权限进行凭证售卖。您可以使用此策略使用来自 Amazon Redshift 集群或位于私有子网中的集群的 Lake Form Amazon EMR ation 权限运行查询。 ``` { "Statement": [ { "Effect": "Allow", "Action": "lakeformation:GetDataAccess", "Resource": "*", "Principal": "*" } ] } ``` **注意** 如果在创建端点时未附加策略,则会附加允许对服务进行完全访问的默认策略。 有关更多信息,请参阅《Amazon VPC 文档》中的以下主题: + [什么是 Amazon VPC?](https://docs.amazonaws.cn/vpc/latest/userguide/what-is-amazon-vpc.html) + [创建接口端点](https://docs.amazonaws.cn/vpc/latest/privatelink/vpce-interface.html#create-interface-endpoint) + [使用 VPC 端点策略](https://docs.amazonaws.cn/vpc/latest/privatelink/vpc-endpoints-access.html#vpc-endpoint-policies)