本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Amazon VPCStep Functions 的端点
如果您使用 Amazon Virtual Private Cloud (Amazon VPC) 托管Amazon资源时,您可以在 Amazon VPC 和之间建立连接。Amazon Step Functions工作流程。您可以将此连接用于您的 Step Functions 工作流,而无需跨越公共 Internet。标准工作流、快速工作流和同步 Express 工作流程支持 Amazon VPC 终端节点。
亚马逊 VPC 允许您启动Amazon自定义虚拟网络中的资源。可以使用 VPC 控制您的网络设置,例如 IP 地址范围、子网、路由表和网络网关。有关 VPC 的更多信息,请参阅Amazon VPC User Guide.
要将您的 Amazon VPC 连接到 Step Functions,您必须首先定义接口 VPC 终端节点,您可以将 VPC 连接到其他 VPCAmazon服务。该终端节点提供了可靠且可扩展的连接,无需互联网网关、网络地址转换 (NAT) 实例或 VPN 连接。有关更多信息,请参阅 Amazon VPC 用户指南中的接口 VPC 终端节点 (Amazon PrivateLink)。
创建终端节点
您可以使用 Amazon Web Services Management Console、Amazon Command Line Interface (Amazon CLI)、Amazon 开发工具包、Amazon Step Functions API 或 Amazon CloudFormation 在 VPC 中创建 Amazon Step Functions 终端节点。
有关使用 Amazon VPC 控制台或 Amazon CLI 创建和配置终端节点的信息,请参阅 Amazon VPC 用户指南中的创建接口终端节点。
在创建终端节点时,请将 Step Functions 指定为您希望 VPC 连接到的服务。在 Amazon VPC 控制台中,服务名称因Amazon区域。例如,如果您选择美国东部(弗吉尼亚北部),则标准工作流和快速工作流的服务名称为com.amazonaws.us-east-1.state,同步 Express 工作流程的服务名称为com.amazonaws.us-east-1.sync-state.
可以在不覆盖 SDK 中的终端节点的情况下使用 VPC 终端节点私有 DNS. 但是,如果要覆盖适用于同步 Express 工作流的 SDK 中的终端节点,则需要设置DisableHostPrefixInjection配置为true. 例如(Java 开发工具包 V2):
SfnClient.builder() .endpointOverride(URI.create("https://vpce-{vpceId}.sync-states.us-east-1.vpce.amazonaws.com")) .overrideConfiguration(ClientOverrideConfiguration.builder() .advancedOptions(ImmutableMap.of(SdkAdvancedClientOption.DISABLE_HOST_PREFIX_INJECTION, true)) .build()) .build();
有关使用 Amazon CloudFormation 创建和配置端点的信息,请参阅 Amazon CloudFormation 用户指南中的 AWS::EC2::VPCEndpoint 资源。
Amazon VPC 终端节点策略
要控制对 Step Functions 的连接访问,您可以附加Amazon Identity and Access Management创建 Amazon VPC 终端节点时 (IAM) 终端节点策略。可以通过附加多个终端节点策略来创建复杂的 IAM 规则。有关更多信息,请参阅: