登录控制台
Amazon Virtual Private Cloud
用户指南
AWS 文档 » Amazon VPC » 用户指南 » VPC 联网组件 » VPC 终端节点
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

VPC 终端节点

VPC 终端节点使您能够将 VPC 私密地连接到支持的 AWS 服务和 VPC 终端节点服务(由 PrivateLink 提供支持),而无需 Internet 网关、NAT 设备、VPN 连接或 AWS Direct Connect 连接。VPC 中的实例无需公有 IP 地址便可与服务中的资源通信。VPC 和其他服务之间的通信不会离开 Amazon 网络。

终端节点是虚拟设备。这些是水平扩展、冗余且具备高可用性的 VPC 组件,通过使用这些组件,可以在 VPC 中的实例与服务之间进行通信,而不会对网络通信带来可用性风险或带宽限制。

VPC 终端节点有两种类型:接口终端节点网关终端节点。创建受支持的服务所需要的 VPC 终端节点 类型。

接口终端节点(由 AWS PrivateLink 提供支持)

接口终端节点是一个弹性网络接口,具有来自子网 IP 地址范围的私有 IP 地址,用作发送到受支持的服务的通信的入口点。支持以下服务:

网关终端节点

网关终端节点是一个网关,作为您在路由表中指定的路由的目标,用于发往受支持的 AWS 服务的流量。支持以下 AWS 服务:

  • Amazon S3

  • DynamoDB

控制 VPC 终端节点 的使用

默认情况下,IAM 用户无权使用终端节点。您可以创建一个 IAM 用户策略,向用户授予创建、修改、描述和删除终端节点的权限。对于所有 ec2:*VpcEndpoint* API 操作,或 ec2:DescribePrefixLists 操作,我们目前均不支持资源级权限。无法创建 IAM 策略,向用户授予使用特定终端节点或前缀列表的权限。以下是示例: 

{
    "Version": "2012-10-17",
    "Statement":[{
    "Effect":"Allow",
    "Action":"ec2:*VpcEndpoint*",
    "Resource":"*"
    }
  ]
}