将接口 VPC 终端节点与 EBS 直接 API 结合使用 - Amazon EBS

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

将接口 VPC 终端节点与 EBS 直接 API 结合使用

您可以通过创建由 AWS PrivateLink 提供支持的接口 VPC 终端节点在 VPC 和 EBS 直接 API 之间建立私有连接。您可以访问 EBS 直接 API,就像它在您的 VPC 中一样,而无需使用互联网网关、NAT 设备、VPN 连接或 AWS Direct Connect 连接。VPC 中的实例即使没有公有 IP 地址也可与 EBS direct API 进行通信。

我们将在您为接口终端节点启用的每个子网中创建一个终端节点网络接口。

有关更多信息,请参阅AWS PrivateLink 指南 AWS PrivateLink中的AWS 服务 直通访问

关于 EBS direct API VPC 终端节点的注意事项

在为 EBS 直接 API 设置接口 VPC 终端节点之前,请查看 AWS PrivateLink 指南中的注意事项

默认情况下,允许通过终端节点对 EBS direct API 进行完全访问。您可以使用 VPC 终端节点策略控制对接口终端节点的访问。您可以将终端节点策略附加到控制对 EBS 直接 API 的访问权限的 VPC 终端节点。该策略指定以下信息:

  • 可以执行操作的委托人

  • 可以执行的操作

  • 可以对其执行操作的资源

有关更多信息,请参阅 Amazon VPC 用户指南中的使用 VPC 终端节点控制对服务的访问

以下是 EBS 直接 API 的终端节点策略示例。当连接到终端节点时,此策略授予对所有资源的所有 EBS 直接 API 操作的访问权限,但标有密钥Environment和值Test的快照除外。

{ "Statement": [ { "Effect": "Deny", "Action": "ebs:*", "Principal": "*", "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceTag/Environment": "Test" } } }, { "Effect": "Allow", "Action": "ebs:*", "Principal": "*", "Resource": "*" } ] }

为 EBS direct API 创建接口 VPC 终端节点

您可以使用 Amazon VPC 控制台或 AWS Command Line Interface (AWS CLI)为 EBS 直接 API 创建 VPC 端点。有关更多信息,请参阅 AWS PrivateLink 指南中的创建 VPC 终端节点

使用以下服务名称为 EBS direct API 创建 VPC 终端节点:

  • com.amazonaws.region.ebs

如果为终端节点启用私有 DNS,则可以使用其默认 DNS 名称作为区域,向 EBS direct API 发送 API 请求,例如 ebs.us-east-1.amazonaws.com