本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
用于 Step Functions 的 Amazon VPC 端点
如果您使用亚马逊虚拟私有云(Amazon VPC)托管 Amazon 资源,则可以在您的亚马逊 VPC 和 Amazon Step Functions 工作流程之间建立连接。您可以将此连接用于您的 Step Functions 工作流,而无需穿越公共 Internet。标准工作流、快速工作流和同步快速工作流都支持 Amazon VPC 端点。
Amazon VPC 允许您在自定义虚拟网络中启动 Amazon 资源。可以使用 VPC 控制您的网络设置,例如 IP 地址范围、子网、路由表和网络网关。有关 VPC 的更多信息,请参阅《Amazon VPC 用户指南》。
要将您的 Amazon VPC 连接到 Step Functions,您必须首先定义一个接口 VPC 终端节点,该终端节点允许您将您的 VPC 与其他 Amazon 服务连接起来。该端点提供了可靠且可扩展的连接,无需互联网网关、网络地址转换 (NAT) 实例或 VPN 连接。有关更多信息,请参阅《Amazon VPC 用户指南》中的接口 VPC 端点 (Amazon PrivateLink)。
创建端点
您可以使用、 Amazon Command Line Interface (Amazon CLI)、 Amazon 软件开发工具包 Amazon Web Services Management Console、 Amazon Step Functions API 或在 VPC 中创建 Amazon Step Functions 终端节点 Amazon CloudFormation。
有关使用 Amazon VPC 控制台或 Amazon CLI 创建和配置端点的信息,请参阅《Amazon VPC 用户指南》中的创建接口端点。
注意
在创建端点时,请将 Step Functions 指定为您希望 VPC 连接到的服务。在 Amazon VPC 控制台中,服务名称因 Amazon 地区而异。例如,如果您选择美国东部(弗吉尼亚州北部),则标准工作流和快速工作流的服务名称为 com.amazonaws.us-east-1.state,同步快速工作流的服务名称为 com.amazonaws.us-east-1.sync-states。
注意
无需通过私有 DNS 覆盖开发工具包中的端点即可使用 VPC 端点。但是,如果要覆盖同步快速工作流的开发工具包中的端点,则需要将 DisableHostPrefixInjection 配置设置为 true。示例(Java 开发工具包 V2):
SfnClient.builder() .endpointOverride(URI.create("https://vpce-{vpceId}.sync-states.us-east-1.vpce.amazonaws.com")) .overrideConfiguration(ClientOverrideConfiguration.builder() .advancedOptions(ImmutableMap.of(SdkAdvancedClientOption.DISABLE_HOST_PREFIX_INJECTION, true)) .build()) .build();
有关使用创建和配置终端节点的信息 Amazon CloudFormation,请参阅用户指南中的 AWS:: EC2:: vpcendPoint 资源。Amazon CloudFormation
Amazon VPC 端点策略
要控制对 Step Functions 的连接访问权限,您可以在创建亚马逊 VPC 终端节点时附加 Amazon Identity and Access Management (IAM) 终端节点策略。您可以通过附加多个端点策略来创建复杂的 IAM 规则。有关更多信息,请参阅: