已启用跨区域 Amazon Web Services 服务 - Amazon Virtual Private Cloud
查看可用的 Amazon Web Services 服务 名字权限和注意事项创建指向其他区域 Amazon Web Services 服务 的接口终端节点
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

已启用跨区域 Amazon Web Services 服务

以下内容与跨区域 Amazon Web Services 服务 集成 Amazon PrivateLink。您可以创建接口终端节点以私密方式连接到其他 Amazon 区域中的这些服务,就像它们在您自己的 VPC 中运行一样。

选择Amazon Web Services 服务列中的链接以查看服务文档。服务名称列包含您在创建接口终端节点时指定的服务名称。

Amazon Web Services 服务 服务名称
Amazon S3 cn。 com.amazonaws。 region.s3
Amazon Identity and Access Management (IAM) com.amazonaws.iam
Amazon ECR cn。 com.amazonaws。 region.ecr.api
cn。 com.amazonaws。 region.ecr.dkr
Amazon Key Management Service com.amazonaws。 region.kms
cn。 com.amazonaws。 region.kms-fips
Amazon ECS com.amazonaws。 region.ecs
Amazon Lambda cn。 com.amazonaws。 region.lambda
Amazon Data Firehose com.amazonaws。 region.kinesis-firehose
适用于 Apache Flink 的亚马逊托管服务 com.amazonaws。 region. 运动分析
cn。 com.amazonaws。 region.kinesisanalytics-fips
Amazon Route 53 com.amazonaws.route53

查看可用的 Amazon Web Services 服务 名字

您可以使用describe-vpc-endpoint-services命令查看启用跨区域的服务。

以下示例显示了 Amazon Web Services 服务 该us-east-1区域的用户可以通过接口终端节点访问指定 (us-west-2) 服务区域的。该 --query 选项将输出限制为服务名称。

aws ec2 describe-vpc-endpoint-services \
  --filters Name=service-type,Values=Interface Name=owner,Values=amazon \ 
  --region us-east-1 \
  --service-region us-west-2 \
  --query ServiceNames

下面是示例输出。未显示完整的输出。

[
    "com.amazonaws.us-west-2.ecr.api",
    "com.amazonaws.us-west-2.ecr.dkr",
    "com.amazonaws.us-west-2.ecs",
    "com.amazonaws.us-west-2.ecs-fips",
    ...
    "com.amazonaws.us-west-2.s3"
]
注意

您必须使用区域性 DNS。 Amazon Web Services 服务 在其他区域访问时,不支持区域 DNS。有关更多信息,请参阅 Amazon VPC 用户指南中的查看和更新 DNS 属性

权限和注意事项

  • 默认情况下,IAM 实体无权访问其他 Amazon Web Services 服务 区域的。要授予跨区域访问所需的权限,IAM 管理员可以创建允许vpce:AllowMultiRegion仅限权限操作的 IAM 策略。

  • 确保您的服务控制策略 (SCP) 不会拒绝仅限vpce:AllowMultiRegion权限的操作。要使用 Amazon PrivateLink跨区域连接功能,您的身份策略和 SCP 都必须允许此操作。

  • 要控制 IAM 实体在创建 VPC 端点时可以指定为服务区域的区域,请使用 ec2:VpceServiceRegion 条件键。

  • 服务使用者必须先选择加入一个选择加入区域,然后才能将其选择为端点的服务区域。我们建议服务使用者尽可能使用区域内连接而非跨区域连接来访问服务。区域内连接可提供更低的延迟和成本。

  • 您可以使用 IAM 的新aws:SourceVpcArn全局条件密钥来保护可以从哪些地区访问 VPCs 您的资源。 Amazon Web Services 账户 此密钥有助于实现数据驻留和基于区域的访问控制。

  • 为了获得高可用性,请在至少两个可用区中创建一个支持跨区域的接口终端节点。在这种情况下,提供商和消费者无需使用相同的可用区。

  • 通过跨区域访问,可以 Amazon PrivateLink 管理服务区域和消费区域中可用区域之间的故障转移。它不管理跨区域的失效转移。

  • 以下可用区不支持跨区域访问:use1-az3usw1-az2apne1-az3apne2-az2、和apne2-az4

  • 您可以使用模拟区域事件并 Amazon Fault Injection Service 对支持区域内和跨区域的接口终端节点的故障场景进行建模。要了解更多信息,请参阅Amazon FIS 文档

创建指向其他区域 Amazon Web Services 服务 的接口终端节点

要使用控制台创建接口终端节点,请参阅创建 VPC 终端节点部分。

在 CLI 中,您可以使用create-vpc-endpoint命令创建通往不同区域的 VPC 终端节点。 Amazon Web Services 服务 以下示例创建了us-west-2从中的 VPC 到 Amazon S3 的接口终端节点us-east-1

aws ec2 create-vpc-endpoint \
  --vpc-id vpc-id \ 
  --service-name com.amazonaws.us-west-2.s3 \
  --vpc-endpoint-type Interface \
  --subnet-ids subnet-id-1 subnet-id-2 \ 
  --region us-east-1 \
  --service-region us-west-2