配置端点服务 - Amazon Virtual Private Cloud
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

配置端点服务

创建端点服务后,您可以更新其配置。

管理权限

权限和接受设置的组合可帮助您控制哪些服务使用者(Amazon 委托人)可以访问您的终端节点服务。例如,可以为您信任的特定主体授予权限,并自动接受所有连接请求;您还可以为范围更广的主体组授予权限,并手动接受您信任的特定连接请求。

默认情况下,您的端点服务对服务使用者不可用。您必须添加允许特定 Amazon 委托人创建接口VPC终端节点以连接到您的终端节点服务的权限。要为 Amazon 委托人添加权限,您需要其亚马逊资源名称 (ARN)。以下列表包括支持的 Amazon 委托ARNs人的示例。

ARNs对于 Amazon 校长
Amazon Web Services 账户 (包括账户中的所有委托人)

arn: aws: iam::account_id:root

角色

arn: aws: iam::account_id:角色/role_name

用户

arn: aws: iam::account_id:用户/user_name

所有校长合而为一 Amazon Web Services 账户

*

注意事项
  • 如果您授予所有人访问端点服务的权限,并将端点服务配置为接受所有请求,则即使您的负载均衡器没有公有 IP 地址,它也将是公有的。

  • 如果您移除权限,则不会影响端点与服务之间先前已接受的现有连接。

使用控制台管理端点服务的权限
  1. 打开亚马逊VPC控制台,网址为https://console.aws.amazon.com/vpc/

  2. 在导航窗格中,选择 Endpoint services(端点服务)。

  3. 选择端点服务,然后选择 Allow principals(允许主体)选项卡。

  4. 要添加权限,请选择 Allow principals(允许主体)。对于要添加的委托人,请输入ARN委托人的。要添加另一个委托人,请选择 Add principal(添加委托人)。添加主体后,请选择 Allow principals(允许主体)。

  5. 要删除权限,请选择该主体,然后依次选择 Actions(操作)、Delete(删除)。提示进行确认时,输入 delete,然后选择 Delete(删除)。

使用命令行为端点服务添加权限

接受或拒绝连接请求

权限和接受设置的组合可帮助您控制哪些服务使用者(Amazon 委托人)可以访问您的终端节点服务。例如,可以为您信任的特定主体授予权限,并自动接受所有连接请求;您还可以为范围更广的主体组授予权限,并手动接受您信任的特定连接请求。

您可以将端点服务配置为自动接受连接请求。否则,您必须手动接受或拒绝请求。如果您不接受连接请求,服务使用者将无法访问端点服务。

如果您授予所有人访问端点服务的权限,并将端点服务配置为接受所有请求,则即使您的负载均衡器没有公有 IP 地址,它也将是公有的。

当连接请求被接受或拒绝时,您会收到通知。有关更多信息,请参阅 接收端点服务事件的提醒

使用控制台修改接受设置
  1. 打开亚马逊VPC控制台,网址为https://console.aws.amazon.com/vpc/

  2. 在导航窗格中,选择 Endpoint services(端点服务)。

  3. 选择端点服务。

  4. 选择 ActionsModify endpoint acceptance setting

  5. 选择或清除 Acceptance required(需要接受)。

  6. 选择 Save changes(保存更改)

使用命令行修改接受设置
使用控制台接受或拒绝连接请求
  1. 打开亚马逊VPC控制台,网址为https://console.aws.amazon.com/vpc/

  2. 在导航窗格中,选择 Endpoint services(端点服务)。

  3. 选择端点服务。

  4. Endpoint connections(端点连接)选项卡中,选择端点连接。

  5. 要接受连接请求,依次选择 Actions(操作)、Accept endpoint connection request(接受端点连接请求)。提示进行确认时,输入 accept,然后选择 Accept(接受)。

  6. 要拒绝连接请求,请选择 Actions(操作)Reject endpoint connection request(拒绝端点连接请求)。提示进行确认时,输入 reject,然后选择 Reject(拒绝)。

使用命令行接受或拒绝连接请求

管理负载均衡器

您可以管理与端点服务相关联的负载均衡器。如果已有端点连接到端点服务,则您无法取消关联负载均衡器。

如果您为网络负载均衡器启用另一个可用区,则也可以为您的端点服务启用可用区。为终端节点服务启用可用区后,服务使用者可以将该可用区的子网添加到其接口VPC终端节点。

要使用控制台管理端点服务的负载均衡器
  1. 打开亚马逊VPC控制台,网址为https://console.aws.amazon.com/vpc/

  2. 在导航窗格中,选择 Endpoint services(端点服务)。

  3. 选择端点服务。

  4. 依次选择 Actions(操作)、Associate or disassociate load balancers(关联或取消关联负载均衡器)。

  5. 根据需要更改端点服务配置。例如:

    • 选中负载均衡器的复选框,以便将其与端点服务关联。

    • 清除负载均衡器的复选框,以便将其与端点服务取消关联。您必须至少选择一个负载均衡器。

    • 如果您最近为负载均衡器启用了另一个可用区,则它会显示在 Included Availability Zones(包括的可用区)下。如果您在下一步中保存更改,则会为新的可用区启用端点服务。

  6. 选择 Save changes(保存更改)

要使用命令行更改端点服务的负载均衡器

要在最近为负载均衡器启用的可用区中启用端点服务,您只需使用端点服务的 ID 调用命令即可。

关联私有DNS名称

您可以将私有DNS名称与终端节点服务相关联。关联私有DNS名称后,您必须在DNS服务器上更新该域的条目。在服务使用者可以使用私有DNS名称之前,服务提供商必须验证他们是否拥有该域名。有关更多信息,请参阅 管理DNS姓名

使用控制台修改终端节点服务的私有DNS名称
  1. 打开亚马逊VPC控制台,网址为https://console.aws.amazon.com/vpc/

  2. 在导航窗格中,选择 Endpoint services(端点服务)。

  3. 选择端点服务。

  4. 选择操作修改私人DNS名称

  5. 选择 “将私有DNS名称与服务关联”,然后输入私有DNS名称。

    • 域名必须使用小写。

    • 您可以在域名中使用通配符(例如 *.myexampleservice.com)。

  6. 选择 Save changes(保存更改)

  7. 验证状态后,私有DNS名称可供服务使用者使用。如果验证状态发生变化,新的连接请求将被拒绝,但现有连接不会受到影响。

使用命令行修改终端节点服务的私有DNS名称
使用控制台启动域验证过程
  1. 打开亚马逊VPC控制台,网址为https://console.aws.amazon.com/vpc/

  2. 在导航窗格中,选择 Endpoint services(端点服务)。

  3. 选择端点服务。

  4. 选择操作验证私有DNS名称的域名所有权

  5. 提示进行确认时,输入 verify,然后选择 Verify(验证)

使用命令行启动域验证过程

修改支持的 IP 地址类型

您可以更改端点服务支持的 IP 地址类型。

考虑因素

要使您的终端节点服务能够接受IPv6请求,其网络负载均衡器必须使用双堆栈 IP 地址类型。目标不需要支持流IPv6量。有关更多信息,请参阅《网络负载均衡器用户指南》中的 IP 地址类型

使用控制台修改支持的 IP 地址类型
  1. 打开亚马逊VPC控制台,网址为https://console.aws.amazon.com/vpc/

  2. 在导航窗格中,选择 Endpoint services(端点服务)。

  3. 选择终VPC端节点服务。

  4. 依次选择 Actions(操作)、Modify supported IP address types(修改支持的 IP 地址类型)。

  5. 对于 Supported IP address types(支持的 IP 地址类型),执行以下任一操作:

    • 选择 IPv4-启用终端节点服务以接受IPv4请求。

    • 选择 IPv6-启用终端节点服务以接受IPv6请求。

    • 选择IPv4IPv6-使终端节点服务能够同时接受IPv4和IPv6请求。

  6. 选择 Save changes(保存更改)

使用命令行修改支持的 IP 地址类型

管理标签

您可以对资源进行标记,以帮助您识别资源或根据组织的需求进行分类。

使用控制台管理端点服务的标签
  1. 打开亚马逊VPC控制台,网址为https://console.aws.amazon.com/vpc/

  2. 在导航窗格中,选择 Endpoint services(端点服务)。

  3. 选择终VPC端节点服务。

  4. 依次选择 Actions(操作)、Manage tags(管理标签)。

  5. 对于每个要添加的标签,请选择 Add new tag(添加新标签),然后输入标签键和标签值。

  6. 若要删除标签,请选择标签的键和值右侧的 Remove(删除)。

  7. 选择 Save(保存)。

使用控制台管理端点连接的标签
  1. 打开亚马逊VPC控制台,网址为https://console.aws.amazon.com/vpc/

  2. 在导航窗格中,选择 Endpoint services(端点服务)。

  3. 选择终VPC端节点服务,然后选择端点连接选项卡。

  4. 选择端点连接,然后依次选择 Actions(操作)、Manage tags(管理标签)。

  5. 对于每个要添加的标签,请选择 Add new tag(添加新标签),然后输入标签键和标签值。

  6. 若要删除标签,请选择标签的键和值右侧的 Remove(删除)。

  7. 选择 Save(保存)。

使用控制台管理端点服务权限的标签
  1. 打开亚马逊VPC控制台,网址为https://console.aws.amazon.com/vpc/

  2. 在导航窗格中,选择 Endpoint services(端点服务)。

  3. 选择VPC终端节点服务,然后选择允许委托人选项卡。

  4. 选择主体,然后依次选择 Actions(操作)、Manage tags(管理标签)。

  5. 对于每个要添加的标签,请选择 Add new tag(添加新标签),然后输入标签键和标签值。

  6. 若要删除标签,请选择标签的键和值右侧的 Remove(删除)。

  7. 选择 Save(保存)。

使用命令行添加和删除标签