将 Amazon Rekognition 与 Amazon VPC 端点结合使用 - Amazon Rekognition

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

将 Amazon Rekognition 与 Amazon VPC 端点结合使用

如果您使用 Amazon Virtual Private Cloud (Amazon VPC) 托管 AWS 资源,则可以在您的 VPC 和 Amazon Rekognition 之间建立私有连接。您可以使用此连接实现 Amazon Rekognition 与 VPC 上的资源的通信而不用访问公共 Internet。

Amazon VPC 是一项 AWS 服务,可用来启动在虚拟网络中定义的 AWS 资源。借助 VPC,您可以控制您的网络设置,如 IP 地址范围、子网、路由表和网络网关。通过 VPC 端点,AWS 网络可处理 VPC 和 AWS 服务之间的路由。

要将您的 VPC 连接到 Amazon Rekognition,请为 Amazon Rekognition 定义一个接口 VPC 端点。接口端点是具有私有 IP 地址的弹性网络接口,用作发送到受支持的 AWS 服务的通信的入口点。该端点提供了与 Amazon Rekognition 的可靠、可扩展的连接,并且不需要互联网网关、网络地址转换 (NAT) 实例或 VPN 连接。有关更多信息,请参阅《Amazon VPC 用户指南》中的什么是 Amazon VPC

接口 VPC 端点由 AWS PrivateLink 启用。此 AWS 技术通过使用具有私有 IP 地址的弹性网络接口来实现 AWS 服务之间的私有通信。

注意

所有 Amazon Rekognition 联邦信息处理标准 (FIPS) 端点都受 AWS PrivateLink 的支持。

为 Amazon Rekognition 创建 Amazon VPC 端点

您可以创建两种类型的 Amazon VPC 端点以与 Amazon Rekognition 一起使用。

  • VPC 端点可与 Amazon Rekognition 操作一起使用。对于大多数用户而言,这是最合适的 VPC 端点类型。

  • VPC 端点可用于针对以下端点的 Amazon Rekognition 操作:符合联邦信息处理标准 (FIPS) 出版物 140-2 美国政府标准。

要开始将 Amazon Rekognition 与您的 VPC 结合使用,请使用 Amazon VPC 控制台为 Amazon Rekognition 创建一个接口 VPC 端点。有关说明,请参阅创建接口端点中的过程“使用控制台创建到 AWS 服务的接口端点”。请注意以下过程步骤:

  • 步骤 3 – 对于服务类别,选择 AWS 服务

  • 步骤 4 – 对于服务名称,选择以下选项之一:

    • com.amazonaws.region.rekognition – 为 Amazon Rekognition 操作创建 VPC 端点。

    • com.amazonaws.region.rekognition-fips – 为针对以下端点的 Amazon Rekognition 操作创建 VPC 端点:符合联邦信息处理标准 (FIPS) 出版物 140-2 美国政府标准。

有关更多信息,请参阅《Amazon VPC 用户指南》中的入门

您可以为 Amazon Rekognition 的 Amazon VPC 端点创建一个策略,在该策略中指定以下内容:

  • 可执行操作的委托人。

  • 可执行的操作。

  • 可对其执行操作的资源。

有关更多信息,请参阅《Amazon VPC 用户指南》中的使用 VPC 端点控制对服务的访问权限

以下示例策略允许通过 VPC 端点连接到 Amazon Rekognition 的用户调用 DetectFaces API 操作。该策略将阻止用户通过 VPC 端点执行其他 Amazon Rekognition API 操作。

用户仍可从 VPC 外部调用其他 Amazon Rekognition API 操作。有关如何拒绝对 VPC 外部的 Amazon Rekognition API 操作的访问信息,请参阅Amazon Rekognition 基于身份的策略

{ "Version": "2012-10-17", "Statement": [ { "Action": [ "rekognition:DetectFaces" ], "Resource": "*", "Effect": "Allow", "Principal": "*" } ] }
修改 Amazon Rekognition 的 VPC 端点策略
  1. 通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/

  2. 如果还没有为 Amazon Rekognition 创建端点,请选择创建端点。接下来,选择 com.amazonaws.Region.rekognition,然后选择创建端点

  3. 在导航窗格中,选择端点

  4. 选择 com.amazonaws.Region.rekognition 端点,然后在屏幕下半部分选择策略选项卡。

  5. 选择编辑策略并对策略进行更改。