访问 Amazon Resource Access Manager 使用接口端点 (Amazon PrivateLink) - Amazon Resource Access Manager
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

访问 Amazon Resource Access Manager 使用接口端点 (Amazon PrivateLink)

您可以使用 … Amazon PrivateLink 在您的VPC和之间创建私人连接 Amazon Resource Access Manager。 你可以访问 Amazon RAM 就好像它在你的里面一样VPC,无需使用互联网网关、NAT设备、VPN连接或 Amazon Direct Connect 连接。你中的实例VPC不需要公有 IP 地址即可访问 Amazon RAM.

您可以通过创建接口端点来建立此私有连接,该端点由提供支持 Amazon PrivateLink。 我们在您为接口终端节点启用的每个子网中创建一个终端节点网络接口。这些是请求者管理的网络接口,可用作发往的流量的入口点 Amazon RAM.

有关更多信息,请参阅访问权限 Amazon Web Services 服务 通过 Amazon PrivateLink中的 Amazon PrivateLink 指南

的注意事项 Amazon RAM

在为设置接口终端节点之前 Amazon RAM,请查看《注意事项Amazon PrivateLink 指南

Amazon RAM 支持通过接口端点调用其所有API操作。

VPC支持终端节点策略 Amazon RAM。 默认情况下,具有完全访问权限 Amazon RAM 允许通过接口端点。

为创建接口终端节点 Amazon RAM

您可以为创建接口终端节点 Amazon RAM 使用 Amazon VPC 控制台或 Amazon Command Line Interface (Amazon CLI)。 有关更多信息,请参阅中的创建接口终端节点 Amazon PrivateLink 指南

为创建接口终端节点 Amazon RAM 使用以下服务名称:

com.amazonaws.region.ram

如果您DNS为接口终端节点启用私有功能,则可以向发出API请求 Amazon RAM 使用其默认的区域DNS名称。例如,ram.us-east-1.amazonaws.com

为 VPC 端点创建端点策略

终端节点策略是您可以附加到接口终端节点的IAM资源。默认终端节点策略允许对以下内容的完全访问权限 Amazon RAM 通过接口端点。控制允许的访问权限 Amazon RAM 从您的VPC,将自定义终端节点策略附加到接口终端节点。

端点策略指定以下信息:

  • 可以执行操作的委托人 (Amazon Web Services 账户、IAM用户和IAM角色)。

  • 可执行的操作。

  • 可对其执行操作的资源。

有关更多信息,请参阅中的使用终端节点策略控制对服务的访问权限 Amazon PrivateLink 指南

示例:的VPC终端节点策略 Amazon RAM actions

以下是自定义端点策略的示例。当您将此策略附加到您的接口终端节点时,它会授予对所列内容的访问权限 Amazon RAM 所有委托人对所有资源执行操作。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": "*", "Action": [ "ram:CreateResourceShare" ], "Resource": "*" } ] }