WKLD1.2 — Verwenden Sie VPC Endpunkte, um auf unterstützte Dienste zuzugreifen - AWS Präskriptive Leitlinien

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

WKLD1.2 — Verwenden Sie VPC Endpunkte, um auf unterstützte Dienste zuzugreifen

In: RessourcenVPCs, die auf andere externe Dienste zugreifen AWS müssen, benötigen entweder eine Route zum Internet (0.0.0.0/0) oder zur öffentlichen IP-Adresse des Zieldienstes. Verwenden Sie VPC Endpunkte, um eine private IP-Route von Ihnen VPC zu unterstützten AWS oder anderen Diensten zu aktivieren, sodass Sie kein Internet-Gateway, ein NAT Gerät, eine virtuelle private Netzwerkverbindung (VPN) oder AWS Direct Connect eine Verbindung verwenden müssen.

VPCEndgeräte unterstützen das Anhängen von Richtlinien und Sicherheitsgruppen, um den Zugriff auf einen Dienst weiter zu kontrollieren. Sie können beispielsweise eine VPC Endpunktrichtlinie für Amazon DynamoDB schreiben, um nur Aktionen auf Elementebene zuzulassen und Aktionen auf Tabellenebene für alle Ressourcen in der zu verhindernVPC, unabhängig von deren eigenen Berechtigungsrichtlinien. Sie können auch eine S3-Bucket-Richtlinie schreiben, um nur Anfragen zuzulassen, die von einem bestimmten VPC Endpunkt stammen, und jeden anderen externen Zugriff zu verweigern. Ein VPC Endpunkt kann auch über eine Sicherheitsgruppenregel verfügen, die beispielsweise den Zugriff auf EC2 Instanzen beschränkt, die einer anwendungsspezifischen Sicherheitsgruppe zugeordnet sind, z. B. der Geschäftslogikebene einer Webanwendung.

Es gibt verschiedene Arten von Endpunkten. VPC Sie greifen über einen VPC Schnittstellenendpunkt auf die meisten Dienste zu. Auf DynamoDB wird über einen Gateway-Endpunkt zugegriffen. Amazon S3 unterstützt sowohl Gateway- als auch Schnittstellen-Endpunkte. Gateway-Endpunkte werden für Workloads empfohlen, die in einem einzigen AWS Konto und einer Region enthalten sind. Für sie fallen keine zusätzlichen Kosten an. Schnittstellenendpunkte werden empfohlen, wenn ein erweiterbarer Zugriff erforderlich ist, z. B. auf einen S3-Bucket von einem anderenVPCs, von lokalen Netzwerken oder von einem anderen aus. AWS-Regionen Für Schnittstellenendpunkte fallen stündliche Verfügbarkeitsgebühren und Datenverarbeitungsgebühren pro GB an, die beide unter den jeweiligen Gebühren für das Senden der Daten über das Gateway liegen. 0.0.0.0/0 AWS NAT

Weitere Informationen zur Verwendung von Endpunkten finden Sie in den folgenden Ressourcen: VPC