必需的VPC端点和DNS配置

AWS Management Console 私有访问每个区域需要以下两个VPC终端节点。Replace（替换） region 使用您自己的地区信息。

1. com.amazonaws。region.console 为 AWS Management Console

2. com.amazonaws。region.sign for AWS 登录

注意

始终为美国东部（弗吉尼亚州北部）（us-east-1）区域预调配基础设施和网络连接，而与用于 AWS Management Console的其他区域无关。您可以使用 AWS Transit Gateway 设置美国东部（弗吉尼亚州北部）与每个其它区域之间的连接。有关更多信息，请参阅 Amazon Transit Gateways 指南中的中VPC转网关入门。您也可以使用 Amazon VPC 对等互连。有关更多信息，请参阅《Amazon VPC对等互连指南》中的什么是对VPC等互连。要比较这些选项，请参阅《亚马逊VPC虚拟私有云VPC连接选项》白皮书中的亚马逊与亚马逊的连接选项。

DNSAWS Management Console 和的配置 AWS 登录

要将网络流量路由到相应的VPC终端节点，请在网络中配置您的用户将从中访问的DNS记录 AWS Management Console。这些DNS记录会将您的用户浏览器流量引导到您创建的VPC端点。

您可以创建单个托管区。但是，诸如health.aws.amazon.com和之类的端点将docs.aws.amazon.com无法访问，因为它们没有VPC端点。您需要将这些域路由到公共互联网。我们建议您为每个区域创建两个私有托管区（一个用于 signin.aws.amazon.com，一个用于 console.aws.amazon.com）以及以下 CNAME 记录：

• 区域 CNAME 记录（所有区域）

• region.signin.aws.amazon.com 指向登录区域中的终端节点 AWS 登录 VPC DNS

• region.console.aws.amazon.com 指向控制台区域中的终端节点 AWS Management Console VPC DNS

• 仅针对美国东部（弗吉尼亚州北部）区域的无区域 CNAME 记录。您必须始终设置美国东部（弗吉尼亚州北部）区域。

  • signin.aws.amazon.com 指向美国东部（弗吉尼亚北部）的 AWS 登录 VPC终端节点 (us-east-1)

  • console.aws.amazon.com 指向美国东部（弗吉尼亚北部）的 AWS Management Console VPC终端节点 (us-east-1)

有关创建 CNAME 记录的说明，请参阅《Amazon Route 53 开发人员指南》中的处理记录。

一些 AWS 游戏机（包括 Amazon S3）的DNS名称使用不同的模式。下面是两个示例：

• support.console.aws.amazon.com

• s3.console.aws.amazon.com

为了能够将此流量定向到您的 AWS Management Console VPC终端节点，您需要单独添加这些名称。我们建议您为所有端点配置路由，以获得完全私密的体验。但是，使用 AWS Management Console 私有访问权限并不是必需的。

以下json文件包含要按区域配置的 AWS service完整列表和控制台终端节点。使用 com.amazonaws.region.console 端点下方的 PrivateIpv4DnsNames 字段作为 DNS 名称。

• https://configuration.private-access.console.amazonaws.com/us-east-1.config.json

• https://configuration.private-access.console.amazonaws.com/us-east-2.config.json

• https://configuration.private-access.console.amazonaws.com/us-west-2.config.json

• https://configuration.private-access.console.amazonaws.com/ap-northeast-1.config.json

• https://configuration.private-access.console.amazonaws.com/ap-northeast-2.config.json

• https://configuration.private-access.console.amazonaws.com/ap-southeast-1.config.json

• https://configuration.private-access.console.amazonaws.com/ap-southeast-2.config.json

• https://configuration.private-access.console.amazonaws.com/ap-south-1.config.json

• https://configuration.private-access.console.amazonaws.com/ap-south-2.config.json

• https://configuration.private-access.console.amazonaws.com/ca-central-1.config.json

• https://configuration.private-access.console.amazonaws.com/eu-central-1.config.json

• https://configuration.private-access.console.amazonaws.com/eu-west-1.config.json

• https://configuration.private-access.console.amazonaws.com/eu-west-2.config.json

• https://configuration.private-access.console.amazonaws.com/il-central-1.config.json

注意

随着我们向 AWS Management Console 私有访问的范围中添加其他端点，此列表每月都会更新。要保持更新您的私有托管区，请定期提取前面的文件列表。

如果你使用 Route 53 来配置你的DNS，请前往 https://console.aws.amazon.com/route53/ v2/hostedzones #验证设置。DNS对于 Route 53 中的每个私有托管区，验证是否存在以下记录集。

• console.aws.amazon.com

• signin.aws.amazon.com

• region.cosole.aws.amazon.com

• region.signin.aws.amazon.com

• support.console.aws.amazon.com

• global.console.aws.amazon.com

• 前面列出的JSON文件中存在的其他记录

VPC AWS 服务的端点和DNS配置

AWS services 通过直接浏览器请求和由 Web 服务器代理的请求组合进行的 AWS Management Console 调用。要将此流量定向到您的 AWS Management Console VPC终端节点，您必须添加VPC终端节点DNS并为每个依赖 AWS 服务进行配置。

以下json文件列出了可供您 AWS services 使用的 AWS PrivateLink 支持文件。如果某项服务未与集成 AWS PrivateLink，则该服务不会包含在这些文件中。

• https://configuration.private-access.console.amazonaws.com/us-east-1.config.json

• https://configuration.private-access.console.amazonaws.com/us-east-2.config.json

• https://configuration.private-access.console.amazonaws.com/us-west-2.config.json

• https://configuration.private-access.console.amazonaws.com/ap-northeast-1.config.json

• https://configuration.private-access.console.amazonaws.com/ap-northeast-2.config.json

• https://configuration.private-access.console.amazonaws.com/ap-southeast-1.config.json

• https://configuration.private-access.console.amazonaws.com/ap-southeast-2.config.json

• https://configuration.private-access.console.amazonaws.com/ap-south-1.config.json

• https://configuration.private-access.console.amazonaws.com/ap-south-2.config.json

• https://configuration.private-access.console.amazonaws.com/ca-central-1.config.json

• https://configuration.private-access.console.amazonaws.com/eu-central-1.config.json

• https://configuration.private-access.console.amazonaws.com/eu-west-1.config.json

• https://configuration.private-access.console.amazonaws.com/eu-west-2.config.json

• https://configuration.private-access.console.amazonaws.com/il-central-1.config.json

使用相应服务的VPC终端节点ServiceName字段将其添加到您的VPC。

注意

随着我们增加对更多服务控制台的 AWS Management Console 私有访问的支持，我们每个月都会更新此列表。要保持最新状态，请定期提取前面的文件列表并更新您的VPC终端节点。