本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
必需的VPC端点和DNS配置
AWS Management Console 私有访问每个区域需要以下两个VPC终端节点。Replace(替换) region
使用您自己的地区信息。
-
com.amazonaws。
region
.console 为 AWS Management Console -
com.amazonaws。
region
.sign for AWS 登录
注意
始终为美国东部(弗吉尼亚州北部)(us-east-1)区域预调配基础设施和网络连接,而与用于 AWS Management Console的其他区域无关。您可以使用 AWS Transit Gateway 设置美国东部(弗吉尼亚州北部)与每个其它区域之间的连接。有关更多信息,请参阅 Amazon Transit Gateways 指南中的中VPC转网关入门。您也可以使用 Amazon VPC 对等互连。有关更多信息,请参阅《Amazon VPC对等互连指南》中的什么是对VPC等互连。要比较这些选项,请参阅《亚马逊VPC虚拟私有云VPC连接选项》白皮书中的亚马逊与亚马逊的连接选项。
DNSAWS Management Console 和的配置 AWS 登录
要将网络流量路由到相应的VPC终端节点,请在网络中配置您的用户将从中访问的DNS记录 AWS Management Console。这些DNS记录会将您的用户浏览器流量引导到您创建的VPC端点。
您可以创建单个托管区。但是,诸如health.aws.amazon.com
和之类的端点将docs.aws.amazon.com
无法访问,因为它们没有VPC端点。您需要将这些域路由到公共互联网。我们建议您为每个区域创建两个私有托管区(一个用于 signin.aws.amazon.com
,一个用于 console.aws.amazon.com
)以及以下 CNAME 记录:
-
区域 CNAME 记录(所有区域)
-
region
.signin.aws.amazon.com 指向登录区域中的终端节点 AWS 登录 VPC DNS -
region
.console.aws.amazon.com 指向控制台区域中的终端节点 AWS Management Console VPC DNS -
仅针对美国东部(弗吉尼亚州北部)区域的无区域 CNAME 记录。您必须始终设置美国东部(弗吉尼亚州北部)区域。
-
signin.aws.amazon.com 指向美国东部(弗吉尼亚北部)的 AWS 登录 VPC终端节点 (us-east-1)
-
console.aws.amazon.com 指向美国东部(弗吉尼亚北部)的 AWS Management Console VPC终端节点 (us-east-1)
-
有关创建 CNAME 记录的说明,请参阅《Amazon Route 53 开发人员指南》中的处理记录。
一些 AWS 游戏机(包括 Amazon S3)的DNS名称使用不同的模式。下面是两个示例:
-
support.console.aws.amazon.com
-
s3.console.aws.amazon.com
为了能够将此流量定向到您的 AWS Management Console VPC终端节点,您需要单独添加这些名称。我们建议您为所有端点配置路由,以获得完全私密的体验。但是,使用 AWS Management Console 私有访问权限并不是必需的。
以下json
文件包含要按区域配置的 AWS service完整列表和控制台终端节点。使用 com.amazonaws.
端点下方的 region
.consolePrivateIpv4DnsNames
字段作为 DNS 名称。
-
https://configuration.private-access.console.amazonaws.com/us-east-1.config.json
-
https://configuration.private-access.console.amazonaws.com/us-east-2.config.json
-
https://configuration.private-access.console.amazonaws.com/us-west-2.config.json
-
https://configuration.private-access.console.amazonaws.com/ap-northeast-1.config.json
-
https://configuration.private-access.console.amazonaws.com/ap-northeast-2.config.json
-
https://configuration.private-access.console.amazonaws.com/ap-southeast-1.config.json
-
https://configuration.private-access.console.amazonaws.com/ap-southeast-2.config.json
-
https://configuration.private-access.console.amazonaws.com/ap-south-1.config.json
-
https://configuration.private-access.console.amazonaws.com/ap-south-2.config.json
-
https://configuration.private-access.console.amazonaws.com/ca-central-1.config.json
-
https://configuration.private-access.console.amazonaws.com/eu-central-1.config.json
-
https://configuration.private-access.console.amazonaws.com/eu-west-1.config.json
-
https://configuration.private-access.console.amazonaws.com/eu-west-2.config.json
-
https://configuration.private-access.console.amazonaws.com/il-central-1.config.json
注意
随着我们向 AWS Management Console 私有访问的范围中添加其他端点,此列表每月都会更新。要保持更新您的私有托管区,请定期提取前面的文件列表。
如果你使用 Route 53 来配置你的DNS,请前往 https://console.aws.amazon.com/route53/ v2/hostedzones #验证设置。DNS对于 Route 53 中的每个私有托管区,验证是否存在以下记录集。
-
console.aws.amazon.com
-
signin.aws.amazon.com
-
region
.cosole.aws.amazon.com -
region
.signin.aws.amazon.com -
support.console.aws.amazon.com
-
global.console.aws.amazon.com
-
前面列出的JSON文件中存在的其他记录
VPC AWS 服务的端点和DNS配置
AWS services 通过直接浏览器请求和由 Web 服务器代理的请求组合进行的 AWS Management Console 调用。要将此流量定向到您的 AWS Management Console VPC终端节点,您必须添加VPC终端节点DNS并为每个依赖 AWS 服务进行配置。
以下json文件列出了可供您 AWS services 使用的 AWS PrivateLink 支持文件。如果某项服务未与集成 AWS PrivateLink,则该服务不会包含在这些文件中。
-
https://configuration.private-access.console.amazonaws.com/us-east-1.config.json
-
https://configuration.private-access.console.amazonaws.com/us-east-2.config.json
-
https://configuration.private-access.console.amazonaws.com/us-west-2.config.json
-
https://configuration.private-access.console.amazonaws.com/ap-northeast-1.config.json
-
https://configuration.private-access.console.amazonaws.com/ap-northeast-2.config.json
-
https://configuration.private-access.console.amazonaws.com/ap-southeast-1.config.json
-
https://configuration.private-access.console.amazonaws.com/ap-southeast-2.config.json
-
https://configuration.private-access.console.amazonaws.com/ap-south-1.config.json
-
https://configuration.private-access.console.amazonaws.com/ap-south-2.config.json
-
https://configuration.private-access.console.amazonaws.com/ca-central-1.config.json
-
https://configuration.private-access.console.amazonaws.com/eu-central-1.config.json
-
https://configuration.private-access.console.amazonaws.com/eu-west-1.config.json
-
https://configuration.private-access.console.amazonaws.com/eu-west-2.config.json
-
https://configuration.private-access.console.amazonaws.com/il-central-1.config.json
使用相应服务的VPC终端节点ServiceName
字段将其添加到您的VPC。
注意
随着我们增加对更多服务控制台的 AWS Management Console 私有访问的支持,我们每个月都会更新此列表。要保持最新状态,请定期提取前面的文件列表并更新您的VPC终端节点。