配置端点服务 - Amazon Virtual Private Cloud
管理权限接受或拒绝连接请求管理负载均衡器关联私有 DNS 名称修改支持的区域修改支持的 IP 地址类型管理标签
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

配置端点服务

创建端点服务后,您可以更新其配置。

管理权限

权限和接受设置的组合可帮助您控制哪些服务使用者(Amazon 委托人)可以访问您的终端节点服务。例如,可以为您信任的特定主体授予权限,并自动接受所有连接请求;您还可以为范围更广的主体组授予权限,并手动接受您信任的特定连接请求。

默认情况下,您的端点服务对服务使用者不可用。您必须添加权限,允许特定 Amazon 委托人创建接口 VPC 终端节点以连接到您的终端节点服务。要为 Amazon 委托人添加权限,您需要其亚马逊资源名称 (ARN)。以下列表包括支持的 Amazon 委托 ARNs 人的示例。

ARNs 对于 Amazon 校长
Amazon Web Services 账户 (包括账户中的所有委托人)

arn: aws: iam::: root account_id

角色

arn: aws: iam::: role/ account_id role_name

用户

arn: aws: iam::: user/ account_id user_name

所有校长合而为一 Amazon Web Services 账户

*

注意事项

  • 如果您授予所有人访问端点服务的权限,并将端点服务配置为接受所有请求,则即使您的负载均衡器没有公有 IP 地址,它也将是公有的。

  • 如果您移除权限,则不会影响端点与服务之间先前已接受的现有连接。

使用控制台管理端点服务的权限

  1. 打开位于 https://console.aws.amazon.com/vpc/ 的 Amazon VPC 控制台。

  2. 在导航窗格中,选择 Endpoint services(端点服务)。

  3. 选择端点服务,然后选择 Allow principals(允许主体)选项卡。

  4. 要添加权限,请选择 Allow principals(允许主体)。对于 Principals to add(要添加的主体),输入主体的 ARN。要添加另一个委托人,请选择 Add principal(添加委托人)。添加主体后,请选择 Allow principals(允许主体)。

  5. 要删除权限,请选择该主体,然后依次选择 Actions(操作)、Delete(删除)。提示进行确认时,输入 delete,然后选择 Delete(删除)。

使用命令行为端点服务添加权限

接受或拒绝连接请求

权限和接受设置的组合可帮助您控制哪些服务使用者(Amazon 委托人)可以访问您的终端节点服务。例如,可以为您信任的特定主体授予权限,并自动接受所有连接请求;您还可以为范围更广的主体组授予权限,并手动接受您信任的特定连接请求。

您可以将端点服务配置为自动接受连接请求。否则,您必须手动接受或拒绝请求。如果您不接受连接请求,服务使用者将无法访问端点服务。

如果您授予所有人访问端点服务的权限,并将端点服务配置为接受所有请求,则即使您的负载均衡器没有公有 IP 地址,它也将是公有的。

当连接请求被接受或拒绝时,您会收到通知。有关更多信息,请参阅 接收端点服务事件的提醒

使用控制台修改接受设置

  1. 打开位于 https://console.aws.amazon.com/vpc/ 的 Amazon VPC 控制台。

  2. 在导航窗格中,选择 Endpoint services(端点服务)。

  3. 选择端点服务。

  4. 选择 ActionsModify endpoint acceptance setting

  5. 选择或清除 Acceptance required(需要接受)。

  6. 选择 Save changes(保存更改)

使用命令行修改接受设置
使用控制台接受或拒绝连接请求

  1. 打开位于 https://console.aws.amazon.com/vpc/ 的 Amazon VPC 控制台。

  2. 在导航窗格中,选择 Endpoint services(端点服务)。

  3. 选择端点服务。

  4. Endpoint connections(端点连接)选项卡中,选择端点连接。

  5. 要接受连接请求,依次选择 Actions(操作)、Accept endpoint connection request(接受端点连接请求)。提示进行确认时,输入 accept,然后选择 Accept(接受)。

  6. 要拒绝连接请求,请选择 Actions(操作)Reject endpoint connection request(拒绝端点连接请求)。提示进行确认时,输入 reject,然后选择 Reject(拒绝)。

使用命令行接受或拒绝连接请求

管理负载均衡器

您可以管理与端点服务相关联的负载均衡器。如果已有端点连接到端点服务,则您无法取消关联负载均衡器。

如果您为负载均衡器启用其他可用区,则可用区将显示在 Endpo int 服务页面的负载均衡器选项卡下。但是,它不会为终端节点服务启用,也不会在终端节点服务的详细信息选项卡中列出 Amazon Web Services Management Console。您需要为新的可用区启用终端节点服务。

负载均衡器的可用区域可能需要几分钟才能为终端节点服务做好准备。如果您使用的是自动化,我们建议您在自动化流程中添加等待时间,然后再为新的可用区启用终端节点服务。

要使用控制台管理端点服务的负载均衡器

  1. 打开位于 https://console.aws.amazon.com/vpc/ 的 Amazon VPC 控制台。

  2. 在导航窗格中,选择 Endpoint services(端点服务)。

  3. 选择端点服务。

  4. 依次选择 Actions(操作)、Associate or disassociate load balancers(关联或取消关联负载均衡器)。

  5. 根据需要更改端点服务配置。例如:

    • 选中负载均衡器的复选框,以便将其与端点服务关联。

    • 清除负载均衡器的复选框,以便将其与端点服务取消关联。您必须至少选择一个负载均衡器。

  6. 选择 Save changes(保存更改)

    对于您添加到负载均衡器中的任何新可用区,都将启用终端节点服务。新的可用区列在终端节点服务的负载均衡器选项卡和详细信息选项卡下。

如果您为端点服务启用可用区,则服务使用者可以将该可用区中的子网添加到其接口 VPC 端点。

要使用命令行更改端点服务的负载均衡器

要在最近为负载均衡器启用的可用区中启用端点服务,您只需使用端点服务的 ID 调用命令即可。

关联私有 DNS 名称

您可以将私有 DNS 名称与端点服务相关联。关联私有 DNS 名称后,您必须更新 DNS 服务器上域的条目。服务提供商必须先验证服务使用者拥有该域,然后服务使用者才能使用私有 DNS 名称。有关更多信息,请参阅 管理 DNS 名称

使用控制台修改端点服务私有 DNS 名称

  1. 打开位于 https://console.aws.amazon.com/vpc/ 的 Amazon VPC 控制台。

  2. 在导航窗格中,选择 Endpoint services(端点服务)。

  3. 选择端点服务。

  4. 依次选择 Actions(操作)、Modify private DNS name(修改私有 DNS 名称)。

  5. 选择 Associate a private DNS name with the service(将私有 DNS 名称与服务关联),然后输入私有 DNS 名称。

    • 域名必须使用小写。

    • 您可以在域名中使用通配符(例如 *.myexampleservice.com)。

  6. 选择保存更改

  7. 如果验证状态为 verified(已验证),则私有 DNS 名称可供服务使用者使用。如果验证状态发生变化,新的连接请求将被拒绝,但现有连接不会受到影响。

使用命令行修改端点服务私有 DNS 名称
使用控制台启动域验证过程

  1. 打开位于 https://console.aws.amazon.com/vpc/ 的 Amazon VPC 控制台。

  2. 在导航窗格中,选择 Endpoint services(端点服务)。

  3. 选择端点服务。

  4. 依次选择 Actions(操作)、Verify domain ownership for private DNS name(验证私有 DNS 名称的域所有权)。

  5. 提示进行确认时,输入 verify,然后选择 Verify(验证)

使用命令行启动域验证过程

修改支持的区域

您可以修改终端节点服务的支持区域集。在添加可选区域之前,必须先选择加入。您无法移除托管您的终端节点服务的区域。

删除区域后,服务使用者无法创建将其指定为服务区域的新终端节点。移除区域不会影响将其指定为服务区域的现有终端节点。当您移除某个区域时,我们建议您拒绝来自该区域的任何现有终端节点连接。

修改您的终端节点服务支持的区域

  1. 打开位于 https://console.aws.amazon.com/vpc/ 的 Amazon VPC 控制台。

  2. 在导航窗格中,选择 Endpoint services(端点服务)。

  3. 选择端点服务。

  4. 选择操作修改支持的区域

  5. 根据需要选择和取消选择 “区域”。

  6. 选择保存更改

修改支持的 IP 地址类型

您可以更改端点服务支持的 IP 地址类型。

考虑因素

要使您的终端节点服务能够接受 IPv6 请求,其网络负载均衡器必须使用双堆栈 IP 地址类型。目标不需要支持流 IPv6 量。有关更多信息,请参阅《网络负载均衡器用户指南》中的 IP 地址类型

使用控制台修改支持的 IP 地址类型

  1. 打开位于 https://console.aws.amazon.com/vpc/ 的 Amazon VPC 控制台。

  2. 在导航窗格中,选择 Endpoint services(端点服务)。

  3. 选择 VPC 端点服务。

  4. 依次选择 Actions(操作)、Modify supported IP address types(修改支持的 IP 地址类型)。

  5. 对于 Supported IP address types(支持的 IP 地址类型),执行以下任一操作:

    • 选择 IPv4-启用终端节点服务以接受 IPv4 请求。

    • 选择 IPv6-启用终端节点服务以接受 IPv6 请求。

    • 选择IPv4IPv6-使终端节点服务能够同时接受 IPv4 和 IPv6 请求。

  6. 选择保存更改

使用命令行修改支持的 IP 地址类型

管理标签

您可以对资源进行标记,以帮助您识别资源或根据组织的需求进行分类。

使用控制台管理端点服务的标签

  1. 打开位于 https://console.aws.amazon.com/vpc/ 的 Amazon VPC 控制台。

  2. 在导航窗格中,选择 Endpoint services(端点服务)。

  3. 选择 VPC 端点服务。

  4. 依次选择 Actions(操作)、Manage tags(管理标签)。

  5. 对于每个要添加的标签,请选择 Add new tag(添加新标签),然后输入标签键和标签值。

  6. 若要删除标签,请选择标签的键和值右侧的 Remove(删除)。

  7. 选择保存

使用控制台管理端点连接的标签

  1. 打开位于 https://console.aws.amazon.com/vpc/ 的 Amazon VPC 控制台。

  2. 在导航窗格中,选择 Endpoint services(端点服务)。

  3. 选择 VPC 端点服务,然后选择 Endpoint connections(端点连接)选项卡。

  4. 选择端点连接,然后依次选择 Actions(操作)、Manage tags(管理标签)。

  5. 对于每个要添加的标签,请选择 Add new tag(添加新标签),然后输入标签键和标签值。

  6. 若要删除标签,请选择标签的键和值右侧的 Remove(删除)。

  7. 选择保存

使用控制台管理端点服务权限的标签

  1. 打开位于 https://console.aws.amazon.com/vpc/ 的 Amazon VPC 控制台。

  2. 在导航窗格中,选择 Endpoint services(端点服务)。

  3. 选择 VPC 端点服务,然后选择 Allow principals(允许主体)选项卡。

  4. 选择主体,然后依次选择 Actions(操作)、Manage tags(管理标签)。

  5. 对于每个要添加的标签,请选择 Add new tag(添加新标签),然后输入标签键和标签值。

  6. 若要删除标签,请选择标签的键和值右侧的 Remove(删除)。

  7. 选择保存

使用命令行添加和删除标签