本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
配置端点服务
创建端点服务后,您可以更新其配置。
管理权限
权限和接受设置的组合可帮助您控制哪些服务使用者(Amazon 委托人)可以访问您的终端节点服务。例如,可以为您信任的特定主体授予权限,并自动接受所有连接请求;您还可以为范围更广的主体组授予权限,并手动接受您信任的特定连接请求。
默认情况下,您的端点服务对服务使用者不可用。您必须添加允许特定 Amazon 委托人创建接口VPC终端节点以连接到您的终端节点服务的权限。要为 Amazon 委托人添加权限,您需要其亚马逊资源名称 (ARN)。以下列表包括支持的 Amazon 委托ARNs人的示例。
ARNs对于 Amazon 校长
- Amazon Web Services 账户 (包括账户中的所有委托人)
-
arn: aws: iam::
account_id
:root - 角色
-
arn: aws: iam::
account_id
:角色/role_name
- 用户
-
arn: aws: iam::
account_id
:用户/user_name
- 所有校长合而为一 Amazon Web Services 账户
-
*
注意事项
-
如果您授予所有人访问端点服务的权限,并将端点服务配置为接受所有请求,则即使您的负载均衡器没有公有 IP 地址,它也将是公有的。
-
如果您移除权限,则不会影响端点与服务之间先前已接受的现有连接。
使用控制台管理端点服务的权限
打开亚马逊VPC控制台,网址为https://console.aws.amazon.com/vpc/
。 -
在导航窗格中,选择 Endpoint services(端点服务)。
-
选择端点服务,然后选择 Allow principals(允许主体)选项卡。
-
要添加权限,请选择 Allow principals(允许主体)。对于要添加的委托人,请输入ARN委托人的。要添加另一个委托人,请选择 Add principal(添加委托人)。添加主体后,请选择 Allow principals(允许主体)。
-
要删除权限,请选择该主体,然后依次选择 Actions(操作)、Delete(删除)。提示进行确认时,输入
delete
,然后选择 Delete(删除)。
使用命令行为端点服务添加权限
-
modify-vpc-endpoint-service-权限 ()Amazon CLI
-
Edit-EC2EndpointServicePermission(适用于 Windows 的工具 PowerShell)
接受或拒绝连接请求
权限和接受设置的组合可帮助您控制哪些服务使用者(Amazon 委托人)可以访问您的终端节点服务。例如,可以为您信任的特定主体授予权限,并自动接受所有连接请求;您还可以为范围更广的主体组授予权限,并手动接受您信任的特定连接请求。
您可以将端点服务配置为自动接受连接请求。否则,您必须手动接受或拒绝请求。如果您不接受连接请求,服务使用者将无法访问端点服务。
如果您授予所有人访问端点服务的权限,并将端点服务配置为接受所有请求,则即使您的负载均衡器没有公有 IP 地址,它也将是公有的。
当连接请求被接受或拒绝时,您会收到通知。有关更多信息,请参阅 接收端点服务事件的提醒。
使用控制台修改接受设置
打开亚马逊VPC控制台,网址为https://console.aws.amazon.com/vpc/
。 -
在导航窗格中,选择 Endpoint services(端点服务)。
-
选择端点服务。
-
选择 Actions、Modify endpoint acceptance setting。
-
选择或清除 Acceptance required(需要接受)。
-
选择 Save changes(保存更改)
使用命令行修改接受设置
-
modify-vpc-endpoint-service-配置 ()Amazon CLI
-
Edit-EC2VpcEndpointServiceConfiguration(适用于 Windows 的工具 PowerShell)
使用控制台接受或拒绝连接请求
打开亚马逊VPC控制台,网址为https://console.aws.amazon.com/vpc/
。 -
在导航窗格中,选择 Endpoint services(端点服务)。
-
选择端点服务。
-
从 Endpoint connections(端点连接)选项卡中,选择端点连接。
-
要接受连接请求,依次选择 Actions(操作)、Accept endpoint connection request(接受端点连接请求)。提示进行确认时,输入
accept
,然后选择 Accept(接受)。 -
要拒绝连接请求,请选择 Actions(操作)、Reject endpoint connection request(拒绝端点连接请求)。提示进行确认时,输入
reject
,然后选择 Reject(拒绝)。
使用命令行接受或拒绝连接请求
-
accept-vpc-endpoint-connections或 reject-vpc-endpoint-connections(Amazon CLI)
-
Approve-EC2EndpointConnection或 Deny-EC2EndpointConnection(适用于 Windows 的工具 PowerShell)
管理负载均衡器
您可以管理与端点服务相关联的负载均衡器。如果已有端点连接到端点服务,则您无法取消关联负载均衡器。
如果您为网络负载均衡器启用另一个可用区,则也可以为您的端点服务启用可用区。为终端节点服务启用可用区后,服务使用者可以将该可用区的子网添加到其接口VPC终端节点。
要使用控制台管理端点服务的负载均衡器
打开亚马逊VPC控制台,网址为https://console.aws.amazon.com/vpc/
。 -
在导航窗格中,选择 Endpoint services(端点服务)。
-
选择端点服务。
-
依次选择 Actions(操作)、Associate or disassociate load balancers(关联或取消关联负载均衡器)。
-
根据需要更改端点服务配置。例如:
-
选中负载均衡器的复选框,以便将其与端点服务关联。
-
清除负载均衡器的复选框,以便将其与端点服务取消关联。您必须至少选择一个负载均衡器。
-
如果您最近为负载均衡器启用了另一个可用区,则它会显示在 Included Availability Zones(包括的可用区)下。如果您在下一步中保存更改,则会为新的可用区启用端点服务。
-
-
选择 Save changes(保存更改)
要使用命令行更改端点服务的负载均衡器
-
modify-vpc-endpoint-service-配置 ()Amazon CLI
-
Edit-EC2VpcEndpointServiceConfiguration(适用于 Windows 的工具 PowerShell)
要在最近为负载均衡器启用的可用区中启用端点服务,您只需使用端点服务的 ID 调用命令即可。
关联私有DNS名称
您可以将私有DNS名称与终端节点服务相关联。关联私有DNS名称后,您必须在DNS服务器上更新该域的条目。在服务使用者可以使用私有DNS名称之前,服务提供商必须验证他们是否拥有该域名。有关更多信息,请参阅 管理DNS姓名。
使用控制台修改终端节点服务的私有DNS名称
打开亚马逊VPC控制台,网址为https://console.aws.amazon.com/vpc/
。 -
在导航窗格中,选择 Endpoint services(端点服务)。
-
选择端点服务。
-
选择操作,修改私人DNS名称。
-
选择 “将私有DNS名称与服务关联”,然后输入私有DNS名称。
域名必须使用小写。
您可以在域名中使用通配符(例如
*.myexampleservice.com
)。
-
选择 Save changes(保存更改)。
-
验证状态后,私有DNS名称可供服务使用者使用。如果验证状态发生变化,新的连接请求将被拒绝,但现有连接不会受到影响。
使用命令行修改终端节点服务的私有DNS名称
-
modify-vpc-endpoint-service-配置 ()Amazon CLI
-
Edit-EC2VpcEndpointServiceConfiguration(适用于 Windows 的工具 PowerShell)
使用控制台启动域验证过程
打开亚马逊VPC控制台,网址为https://console.aws.amazon.com/vpc/
。 -
在导航窗格中,选择 Endpoint services(端点服务)。
-
选择端点服务。
-
选择操作,验证私有DNS名称的域名所有权。
-
提示进行确认时,输入
verify
,然后选择 Verify(验证)。
使用命令行启动域验证过程
-
start-vpc-endpoint-service-private-dns-verification (Amazon CLI)
-
Start-EC2VpcEndpointServicePrivateDnsVerification(适用于 Windows 的工具 PowerShell)
修改支持的 IP 地址类型
您可以更改端点服务支持的 IP 地址类型。
考虑因素
要使您的终端节点服务能够接受IPv6请求,其网络负载均衡器必须使用双堆栈 IP 地址类型。目标不需要支持流IPv6量。有关更多信息,请参阅《网络负载均衡器用户指南》中的 IP 地址类型。
使用控制台修改支持的 IP 地址类型
打开亚马逊VPC控制台,网址为https://console.aws.amazon.com/vpc/
。 -
在导航窗格中,选择 Endpoint services(端点服务)。
-
选择终VPC端节点服务。
-
依次选择 Actions(操作)、Modify supported IP address types(修改支持的 IP 地址类型)。
-
对于 Supported IP address types(支持的 IP 地址类型),执行以下任一操作:
-
选择 IPv4-启用终端节点服务以接受IPv4请求。
-
选择 IPv6-启用终端节点服务以接受IPv6请求。
-
选择IPv4和 IPv6-使终端节点服务能够同时接受IPv4和IPv6请求。
-
-
选择 Save changes(保存更改)。
使用命令行修改支持的 IP 地址类型
-
modify-vpc-endpoint-service-配置 ()Amazon CLI
-
Edit-EC2VpcEndpointServiceConfiguration(适用于 Windows 的工具 PowerShell)
管理标签
您可以对资源进行标记,以帮助您识别资源或根据组织的需求进行分类。
使用控制台管理端点服务的标签
打开亚马逊VPC控制台,网址为https://console.aws.amazon.com/vpc/
。 -
在导航窗格中,选择 Endpoint services(端点服务)。
-
选择终VPC端节点服务。
-
依次选择 Actions(操作)、Manage tags(管理标签)。
-
对于每个要添加的标签,请选择 Add new tag(添加新标签),然后输入标签键和标签值。
-
若要删除标签,请选择标签的键和值右侧的 Remove(删除)。
-
选择 Save(保存)。
使用控制台管理端点连接的标签
打开亚马逊VPC控制台,网址为https://console.aws.amazon.com/vpc/
。 -
在导航窗格中,选择 Endpoint services(端点服务)。
-
选择终VPC端节点服务,然后选择端点连接选项卡。
-
选择端点连接,然后依次选择 Actions(操作)、Manage tags(管理标签)。
-
对于每个要添加的标签,请选择 Add new tag(添加新标签),然后输入标签键和标签值。
-
若要删除标签,请选择标签的键和值右侧的 Remove(删除)。
-
选择 Save(保存)。
使用控制台管理端点服务权限的标签
打开亚马逊VPC控制台,网址为https://console.aws.amazon.com/vpc/
。 -
在导航窗格中,选择 Endpoint services(端点服务)。
-
选择VPC终端节点服务,然后选择允许委托人选项卡。
-
选择主体,然后依次选择 Actions(操作)、Manage tags(管理标签)。
-
对于每个要添加的标签,请选择 Add new tag(添加新标签),然后输入标签键和标签值。
-
若要删除标签,请选择标签的键和值右侧的 Remove(删除)。
-
选择 Save(保存)。
使用命令行添加和删除标签
-
create-tags 和 delete-tags (Amazon CLI)
-
New-EC2Tag和 Remove-EC2Tag(适用于 Windows 的工具 PowerShell)