Step Functions 的 Amazon VPC 终端节点
如果使用 Amazon Virtual Private Cloud (Amazon VPC) 托管 AWS 资源,则可以在 Amazon VPC 和 AWS Step Functions 工作流之间建立连接。您可以将此连接用于您的 Step Functions 工作流,而无需穿越公共 Internet。
Amazon VPC 允许您在自定义的虚拟网络中启动 AWS 资源。可以使用 VPC 控制您的网络设置,例如 IP 地址范围、子网、路由表和网络网关。有关 VPC 的更多信息,请参阅 Amazon VPC 用户指南。
要将 Amazon VPC 连接到 Step Functions,您必须先定义一个接口 VPC 终端节点,该终端节点可让您将 VPC 连接到其他 AWS 服务。该终端节点提供了可靠且可扩展的连接,无需互联网网关、网络地址转换 (NAT) 实例或 VPN 连接。有关更多信息,请参阅 Amazon VPC 用户指南 中的接口 VPC 终端节点 (AWS PrivateLink)。
创建终端节点
您可以使用 AWS 管理控制台、AWS Command Line Interface (AWS CLI)、AWS 开发工具包、AWS Step Functions API 或 AWS CloudFormation 在 VPC 中创建 AWS Step Functions 终端节点。
有关使用 Amazon VPC 控制台或 AWS CLI 创建和配置终端节点的信息,请参阅 Amazon VPC 用户指南 中的创建接口终端节点。
在创建终端节点时,请将 Step Functions 指定为您希望 VPC 连接到的服务。在 Amazon VPC 控制台中,服务名称因 AWS 区域而异。例如,如果您选择“US East (N. Virginia)”(美国东部(弗吉尼亚北部)),则服务名称为 com.amazonaws.us-east-1.states。
有关使用 AWS CloudFormation 创建和配置终端节点的信息,请参阅 AWS CloudFormation 用户指南 中的 AWS::EC2::VPCEndpoint 资源。
Amazon VPC 终端节点策略
要控制对 Step Functions 的连接访问,您可以在创建 Amazon VPC 终端节点时附加 AWS Identity and Access Management (IAM) 终端节点策略。可以通过附加多个终端节点策略来创建复杂的 IAM 规则。有关更多信息,请参阅: