使用接口 VPC 端点访问 Amazon Web Service。 - Amazon Virtual Private Cloud
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

使用接口 VPC 端点访问 Amazon Web Service。

您可以创建接口 VPC 端点以连接到由 Amazon PrivateLink 提供支持的服务,包括许多 Amazon Web Services。

对于您在 VPC 中指定的每个子网,我们将在子网中创建一个端点网络接口,并为其分配子网地址范围内的私有 IP 地址。端点网络接口是由请求者管理的网络接口;您可以在您的 Amazon Web Services 账户 中查看,但无法自行管理。

注意事项

  • 接口 VPC 端点仅支持通过 TCP 的流量。

  • Amazon Web Services 自动接受连接请求。服务无法通过 VPC 端点发起对资源的请求。

  • 为 VPC 端点创建的 DNS 名称可公开解析。它们解析为已启用的可用区的端点网络接口的私有 IP 地址。私有 DNS 名称不可公开解析。

  • 默认情况下,每个可用区的每个接口端点可支持高达 10 Gbps 的带宽并自动扩展到高达 100 Gbps。如果您的应用程序需要更高的每个区吞吐量,请联系 Amazon Web Services Support。

  • 您的 Amazon PrivateLink 资源上有配额。有关更多信息,请参阅 Amazon PrivateLink 配额

先决条件

  • 在您的 VPC 中创建私有子网并部署将在私有子网中使用 VPC 端点访问 Amazon Web Service 的资源。

  • 若要使用私有 DNS,您必须为 VPC 启用 DNS 主机名和 DNS 解析。有关更多信息,请参阅《Amazon VPC 用户指南》中的查看和更新 DNS 属性

  • 接口端点的安全组必须允许端点网络接口与您的 VPC 中必须与服务通信的资源进行通信。默认情况下,接口端点使用 VPC 的默认安全组。或者,您可以创建一个安全组来控制从 VPC 中的资源发送到端点网络接口的流量。为确保工具(例如 Amazon CLI)可以通过 HTTPS 从 VPC 中的资源向 Amazon Web Service 发出请求,安全组必须允许入站 HTTPS 流量。

  • 如果您的资源位于具有网络 ACL 的子网中,请验证网络 ACL 是否允许端点网络接口与 VPC 中的资源之间的流量。

创建 VPC 端点

使用以下过程创建连接到 Amazon Web Service 的接口 VPC 端点。

为 Amazon Web Service 创建接口端点
  1. 通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/

  2. 在导航窗格中,选择 Endpoints(端点)。

  3. 选择 Create endpoint(创建端点)。

  4. 对于 Service category(服务类别),选择 Amazon Web Services

  5. 对于 Service name(服务名称),选择服务。有关更多信息,请参阅与 Amazon PrivateLink 集成的 Amazon Web Services

  6. 对于 VPC,选择您要从中访问 Amazon Web Service 的 VPC。

  7. 如果您在步骤 5 中选择了 Amazon S3 的服务名称,并且想要配置私有 DNS 支持,则请选择其他设置启用 DNS 名称。当您做出此选择时,其还会自动选择仅对入站端点启用私有 DNS。您只能为 Amazon S3 的接口端点配置带有入站解析器端点的私有 DNS。如果您没有 Amazon S3 的网关端点,并且选择仅为入站端点启用私有 DNS,则在尝试执行此过程的最后一步时会收到错误消息。

    如果您在步骤 5 中为除 Amazon S3 之外的所有服务都选择了服务名称,则表明已选择了其他设置启用 DNS 名称。建议您保留默认值。

  8. Subnets(子网)选项中,为每个可用区选择一个您将从中访问 Amazon Web Service 的子网。

  9. 对于 Security group(安全组),选择要与端点网络接口关联的安全组。安全组规则必须允许将使用 VPC 端点与 Amazon Web Service 通信的资源与端点网络接口进行通信。

  10. 对于 Policy(策略),选择 Full access(完全访问权限)以允许所有主体通过 VPC 端点对所有资源执行所有操作。否则,选择 Custom(自定义)以附加 VPC 端点策略,该策略控制主体通过 VPC 端点对资源执行操作的权限。该选项仅在服务支持 VPC 端点策略时可用。有关更多信息,请参阅VPC 端点策略

  11. (可选)若要添加标签,请选择 Add new tag(添加新标签),然后输入该标签的键和值。

  12. 选择 Create endpoint(创建端点)。

使用命令行创建接口端点