VPC 终端节点
VPC 终端节点使您能够将 VPC 私密地连接到支持的 AWS 服务和 VPC 终端节点服务(由 PrivateLink 提供支持),而无需 Internet 网关、NAT 设备、VPN 连接或 AWS Direct Connect 连接。VPC 中的实例无需公有 IP 地址便可与服务中的资源通信。VPC 和其他服务之间的通信不会离开 Amazon 网络。
终端节点是虚拟设备。这些是水平扩展、冗余且具备高可用性的 VPC 组件,通过使用这些组件,可以在 VPC 中的实例与服务之间进行通信,而不会对网络通信带来可用性风险或带宽限制。
VPC 终端节点有两种类型:接口终端节点 和 网关终端节点。创建受支持的服务所需要的 VPC 终端节点 类型。
接口终端节点 (由 AWS PrivateLink 提供支持)
接口终端节点是具有私有 IP 地址的弹性网络接口,用作发送到受支持的服务的通信的入口点。支持以下服务:
-
Amazon EC2 API
-
Elastic Load Balancing API
-
AWS Service Catalog
-
其他 AWS 账户托管的终端节点服务
-
支持的 AWS Marketplace 合作伙伴服务
控制 VPC 终端节点 的使用
默认情况下,IAM 用户无权使用终端节点。您可以创建一个 IAM 用户策略,向用户授予创建、修改、描述和删除终端节点的权限。对于所有 ec2:*VpcEndpoint*
API 操作,或 ec2:DescribePrefixLists
操作,我们目前均不支持资源级权限。无法创建 IAM 策略,向用户授予使用特定终端节点或前缀列表的权限。以下是示例:
{ "Version": "2012-10-17", "Statement":[{ "Effect":"Allow", "Action":"ec2:*VpcEndpoint*", "Resource":"*" } ] }