使用接口 VPC 端点访问 Amazon Web Service。 - Amazon Virtual Private Cloud
先决条件创建 VPC 端点共享子网
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

使用接口 VPC 端点访问 Amazon Web Service。

您可以创建接口 VPC 端点以连接到由 Amazon PrivateLink 提供支持的服务,包括许多 Amazon Web Services。有关概述,请参阅 Amazon PrivateLink 概念通过 Amazon PrivateLink 访问 Amazon Web Services

对于您在 VPC 中指定的每个子网,我们将在子网中创建一个端点网络接口,并为其分配子网地址范围内的私有 IP 地址。端点网络接口是由请求者管理的网络接口;您可以在您的 Amazon Web Services 账户 中查看,但无法自行管理。

先决条件

  • 在您的 VPC 中部署将访问 Amazon Web Service 的资源。

  • 若要使用私有 DNS,您必须为 VPC 启用 DNS 主机名和 DNS 解析。有关更多信息,请参阅《Amazon VPC 用户指南》中的查看和更新 DNS 属性

  • 要为接口端点启用 IPv6,Amazon Web Service 必须支持通过 IPv6 进行访问。有关更多信息,请参阅IP 地址类型

  • 创建一个安全组,允许您的 VPC 中的资源与 VPC 端点的端点网络接口通信。为确保工具(例如 Amazon CLI)可以通过 HTTPS 从 VPC 中的资源向 Amazon Web Service 发出请求,安全组必须允许入站 HTTPS 流量。

  • 如果您的资源位于具有网络 ACL 的子网中,请验证网络 ACL 是否允许端点网络接口与 VPC 中的资源之间的流量。

  • 您的 Amazon PrivateLink 资源上有配额。有关更多信息,请参阅Amazon PrivateLink 配额

创建 VPC 端点

使用以下过程创建连接到 Amazon Web Service 的接口 VPC 端点。

为 Amazon Web Service 创建接口端点

  1. 通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/

  2. 在导航窗格中,选择 Endpoints(端点)。

  3. 选择 Create endpoint(创建端点)。

  4. 对于 Service category(服务类别),选择 Amazon Web Services

  5. 对于 Service name(服务名称),选择服务。有关更多信息,请参阅与 Amazon PrivateLink 集成的 Amazon Web Services

  6. 对于 VPC,选择您要从中访问 Amazon Web Service 的 VPC。

  7. 如果您在步骤 5 中选择了 Amazon S3 的服务名称,并且想要配置私有 DNS 支持,则请选择其他设置启用 DNS 名称。当您做出此选择时,其还会自动选择仅对入站端点启用私有 DNS。您只能为 Amazon S3 的接口端点配置带有入站解析器端点的私有 DNS。如果您没有 Amazon S3 的网关端点,并且选择仅为入站端点启用私有 DNS,则在尝试执行此过程的最后一步时会收到错误消息。

    如果您在步骤 5 中为除 Amazon S3 之外的所有服务都选择了服务名称,则表明已选择了其他设置启用 DNS 名称。建议您保留默认值。

  8. Subnets(子网)选项中,为每个可用区选择一个您将从中访问 Amazon Web Service 的子网。您无法从同一可用区中选择多个子网。我们将在您选择的每个子网中创建一个端点网络接口。默认情况下,我们选择子网 IP 地址范围中的 IP 地址,并将其分配给端点网络接口。要为端点网络接口选择 IP 地址,请选择指定 IP 地址,然后输入子网地址范围中的 IPv4 地址。如果端点服务支持 IPv6,您也可以输入子网地址范围中的 IPv6 地址。

  9. 对于 IP address type(IP 地址类型),可从以下选项中进行选择:

    • IPv4 – 将 IPv4 地址分配给端点网络接口。仅当所有选定子网都具有 IPv4 地址范围且服务接受 IPv4 请求时,才支持此选项。

    • IPv6 – 将 IPv6 地址分配给端点网络接口。仅当所有选定子网均为仅限 IPv6 的子网且服务接受 IPv6 请求时,才支持此选项。

    • Dualstack(双堆栈)– 将 IPv4 和 IPv6 地址分配给端点网络接口。仅当所有选定子网都具有 IPv4 和 IPv6 地址范围且服务接受 IPv4 和 IPv6 请求时,才支持此选项。

  10. 对于 Security groups(安全组),选择要与 VPC 端点的端点网络接口关联的安全组。默认情况下,我们会关联 VPC 的默认安全组。

  11. 对于 Policy(策略),选择 Full access(完全访问权限)以允许所有主体通过 VPC 端点对所有资源执行所有操作。否则,选择 Custom(自定义)以附加 VPC 端点策略,该策略控制主体通过 VPC 端点对资源执行操作的权限。该选项仅在服务支持 VPC 端点策略时可用。有关更多信息,请参阅端点策略

  12. (可选)若要添加标签,请选择 Add new tag(添加新标签),然后输入该标签的键和值。

  13. 选择 Create endpoint(创建端点)。

使用命令行创建接口端点

共享子网

您无法在与您共享的子网中创建、描述、修改或删除 VPC 端点。但是,您可以在与您共享的子网中使用 VPC 端点。