配置端点服务 - Amazon Virtual Private Cloud
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

配置端点服务

创建端点服务后,您可以更新其配置。

管理权限

权限和接受设置的组合可帮助您控制哪些服务使用者(Amazon 委托人)可以访问您的终端节点服务。例如,可以为您信任的特定主体授予权限,并自动接受所有连接请求;您还可以为范围更广的主体组授予权限,并手动接受您信任的特定连接请求。

默认情况下,您的端点服务对服务使用者不可用。您必须添加权限,允许特定 Amazon 委托人创建接口 VPC 终端节点以连接到您的终端节点服务。要为 Amazon 委托人添加权限,您需要其亚马逊资源名称 (ARN)。以下列表包括支持的 Amazon 主体的 ARN 示例。

校长的 ARN Amazon
Amazon Web Services 账户 (包括账户中的所有委托人)

arn:aws:iam::account_id:root

角色

arn:aws:iam::account_id:role/role_name

用户

arn:aws:iam::account_id:user/user_name

所有校长合而为一 Amazon Web Services 账户

*

考虑因素

如果您授予所有人访问端点服务的权限,并将端点服务配置为接受所有请求,则即使您的负载均衡器没有公有 IP 地址,它也将是公有的。

使用控制台管理端点服务的权限
  1. 通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/

  2. 在导航窗格中,选择 Endpoint services(端点服务)。

  3. 选择端点服务,然后选择 Allow principals(允许主体)选项卡。

  4. 要添加权限,请选择 Allow principals(允许主体)。对于 Principals to add(要添加的主体),输入主体的 ARN。要添加另一个委托人,请选择 Add principal(添加委托人)。添加主体后,请选择 Allow principals(允许主体)。

  5. 要删除权限,请选择该主体,然后依次选择 Actions(操作)、Delete(删除)。提示进行确认时,输入 delete,然后选择 Delete(删除)。

使用命令行为端点服务添加权限

接受或拒绝连接请求

权限和接受设置的组合可帮助您控制哪些服务使用者(Amazon 委托人)可以访问您的终端节点服务。例如,可以为您信任的特定主体授予权限,并自动接受所有连接请求;您还可以为范围更广的主体组授予权限,并手动接受您信任的特定连接请求。

您可以将端点服务配置为自动接受连接请求。否则,您必须手动接受或拒绝请求。如果您不接受连接请求,服务使用者将无法访问端点服务。

当连接请求被接受或拒绝时,您会收到通知。有关更多信息,请参阅接收端点服务事件的提醒

考虑因素

如果您授予所有人访问端点服务的权限,并将端点服务配置为接受所有请求,则即使您的负载均衡器没有公有 IP 地址,它也将是公有的。

使用控制台修改接受设置
  1. 通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/

  2. 在导航窗格中,选择 Endpoint services(端点服务)。

  3. 选择端点服务。

  4. 选择 ActionsModify endpoint acceptance setting

  5. 选择或清除 Acceptance required(需要接受)。

  6. 选择 Save changes(保存更改)

使用命令行修改接受设置
使用控制台接受或拒绝连接请求
  1. 通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/

  2. 在导航窗格中,选择 Endpoint services(端点服务)。

  3. 选择端点服务。

  4. Endpoint connections(端点连接)选项卡中,选择端点连接。

  5. 要接受连接请求,依次选择 Actions(操作)、Accept endpoint connection request(接受端点连接请求)。提示进行确认时,输入 accept,然后选择 Accept(接受)。

  6. 要拒绝连接请求,请选择 Actions(操作)Reject endpoint connection request(拒绝端点连接请求)。提示进行确认时,输入 reject,然后选择 Reject(拒绝)。

更改负载均衡器关联

您可以更改与端点服务相关联的负载均衡器。如果已有端点连接到端点服务,则您无法取消关联负载均衡器。

要使用控制台更改端点服务的负载均衡器
  1. 通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/

  2. 在导航窗格中,选择 Endpoint services(端点服务)。

  3. 选择端点服务。

  4. 依次选择 Actions(操作)、Associate or disassociate load balancers(关联或取消关联负载均衡器)。

  5. 根据需要添加或删除负载均衡器。

  6. 选择 Save changes(保存更改)

使用命令行更改端点服务的负载均衡器

关联私有 DNS 名称

您可以将私有 DNS 名称与端点服务相关联。关联私有 DNS 名称后,您必须更新 DNS 服务器上域的条目。服务提供商必须先验证服务使用者拥有该域,然后服务使用者才能使用私有 DNS 名称。有关更多信息,请参阅管理 DNS 名称

使用控制台修改端点服务私有 DNS 名称
  1. 通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/

  2. 在导航窗格中,选择 Endpoint services(端点服务)。

  3. 选择端点服务。

  4. 依次选择 Actions(操作)、Modify private DNS name(修改私有 DNS 名称)。

  5. 选择 Associate a private DNS name with the service(将私有 DNS 名称与服务关联),然后输入私有 DNS 名称。

    • 域名必须使用小写。

    • 您可以在域名中使用通配符(例如 *.myexampleservice.com)。

  6. 选择 ‬保存更改

  7. 如果验证状态为 verified(已验证),则私有 DNS 名称可供服务使用者使用。如果验证状态发生变化,新的连接请求将被拒绝,但现有连接不会受到影响。

使用命令行修改端点服务私有 DNS 名称
使用控制台启动域验证过程
  1. 通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/

  2. 在导航窗格中,选择 Endpoint services(端点服务)。

  3. 选择端点服务。

  4. 依次选择 Actions(操作)、Verify domain ownership for private DNS name(验证私有 DNS 名称的域所有权)。

  5. 提示进行确认时,输入 verify,然后选择 Verify(验证)

使用命令行启动域验证过程

修改支持的 IP 地址类型

您可以更改端点服务支持的 IP 地址类型。

考虑因素

要使您的端点服务能够接受 IPv6 请求,其网络负载均衡器必须使用双堆栈 IP 地址类型。目标无需支持 IPv6 流量。有关更多信息,请参阅《网络负载均衡器用户指南》中的 IP 地址类型

使用控制台修改支持的 IP 地址类型
  1. 通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/

  2. 在导航窗格中,选择 Endpoint services(端点服务)。

  3. 选择 VPC 端点服务。

  4. 依次选择 Actions(操作)、Modify supported IP address types(修改支持的 IP 地址类型)。

  5. 对于 Supported IP address types(支持的 IP 地址类型),执行以下任一操作:

    • 选择 IPv4 – 启用端点服务以接受 IPv4 请求。

    • 选择 IPv6 – 启用端点服务以接受 IPv6 请求。

    • 选择 IPv4IPv6 – 启用端点服务以接受 IPv4 和 IPv6 请求。

  6. 选择 ‬保存更改

使用命令行修改支持的 IP 地址类型

管理标签

您可以对资源进行标记,以帮助您识别资源或根据组织的需求进行分类。

使用控制台管理端点服务的标签
  1. 通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/

  2. 在导航窗格中,选择 Endpoint services(端点服务)。

  3. 选择 VPC 端点服务。

  4. 依次选择 Actions(操作)、Manage tags(管理标签)。

  5. 对于每个要添加的标签,请选择 Add new tag(添加新标签),然后输入标签键和标签值。

  6. 若要删除标签,请选择标签的键和值右侧的 Remove(删除)。

  7. 选择 Save(保存)。

使用控制台管理端点连接的标签
  1. 通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/

  2. 在导航窗格中,选择 Endpoint services(端点服务)。

  3. 选择 VPC 端点服务,然后选择 Endpoint connections(端点连接)选项卡。

  4. 选择端点连接,然后依次选择 Actions(操作)、Manage tags(管理标签)。

  5. 对于每个要添加的标签,请选择 Add new tag(添加新标签),然后输入标签键和标签值。

  6. 若要删除标签,请选择标签的键和值右侧的 Remove(删除)。

  7. 选择 Save(保存)。

使用控制台管理端点服务权限的标签
  1. 通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/

  2. 在导航窗格中,选择 Endpoint services(端点服务)。

  3. 选择 VPC 端点服务,然后选择 Allow principals(允许主体)选项卡。

  4. 选择主体,然后依次选择 Actions(操作)、Manage tags(管理标签)。

  5. 对于每个要添加的标签,请选择 Add new tag(添加新标签),然后输入标签键和标签值。

  6. 若要删除标签,请选择标签的键和值右侧的 Remove(删除)。

  7. 选择 Save(保存)。

使用命令行添加和删除标签