本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Step FVPC ctiononononons
如果您使用 Amazon Virtual Private Cloud (Amazon VPC) 托管Amazon资源,则可以在您的 Amazon VPC 和Amazon Step Functions工作流之间建立连接。您可以将此连接与 Step Functions 工作流搭配使用,无需跨越公有 Internet。标准工作流程、快速工作流程和同步快速工作流程支持 Amazon VPC 终端节点。
Amazon VPC 允许您在自定义虚拟网络中启动Amazon资源。可以使用 VPC 控制您的网络设置,例如 IP 地址范围、子网、路由表和网络网关。有关 VPC 的更多信息,请参阅 Amazon VPC 用户指南。
要将您的 Amazon VPC 连接到 Step Functions,您必须首先定义接口 VPC 终端节点,该终端节点允许您将您的 VPC 连接到其他Amazon服务。该终端节点提供了可靠且可扩展的连接,无需互联网网关、网络地址转换 (NAT) 实例或 VPN 连接。有关更多信息,请参阅 Amazon VPC 用户指南中的接口 VPC 终端节点 (Amazon PrivateLink)。
创建终端节点
您可以使用 Amazon Web Services Management Console、Amazon Command Line Interface (Amazon CLI)、Amazon 开发工具包、Amazon Step Functions API 或 Amazon CloudFormation 在 VPC 中创建 Amazon Step Functions 终端节点。
有关使用 Amazon VPC 控制台或 Amazon CLI 创建和配置终端节点的信息,请参阅 Amazon VPC 用户指南中的创建接口终端节点。
注意
在创建终端节点时,请将 Step Functions 指定为您希望 VPC 连接到的服务。在 Amazon VPC 控制台中,服务名称因Amazon区域而异。例如,如果您选择美国东部(弗吉尼亚北部),则标准工作流程和 Emazon Amazon aw s 的服务名称为 com.amazon aws .us-east-1.st ates。
注意
可以使用 VPC 终端节点,而无需通过私有 DNS 覆盖 SDK 中的终端节点。但是,如果您想替换同步快速工作流开发工具包中的终端节点,则需要将DisableHostPrefixInjection配置设置为true。示例(Java SDK V2):
SfnClient.builder() .endpointOverride(URI.create("https://vpce-{vpceId}.sync-states.us-east-1.vpce.amazonaws.com")) .overrideConfiguration(ClientOverrideConfiguration.builder() .advancedOptions(ImmutableMap.of(SdkAdvancedClientOption.DISABLE_HOST_PREFIX_INJECTION, true)) .build()) .build();
有关使用 Amazon CloudFormation 创建和配置端点的信息,请参阅 Amazon CloudFormation 用户指南中的 AWS::EC2::VPCEndpoint 资源。
亚马逊 VPC 终端节点策略
要控制对 Step Functions 的连接访问,您可以在创建 Amazon VPC 终端节点时附加Amazon Identity and Access Management (IAM) 终端节点策略。您可以通过附加多个终端节点策略来创建复杂的 IAM 规则。有关更多信息,请参阅: