选择您的 Cookie 首选项

我们使用必要 Cookie 和类似工具提供我们的网站和服务。我们使用性能 Cookie 收集匿名统计数据,以便我们可以了解客户如何使用我们的网站并进行改进。必要 Cookie 无法停用,但您可以单击“自定义”或“拒绝”来拒绝性能 Cookie。

如果您同意,AWS 和经批准的第三方还将使用 Cookie 提供有用的网站功能、记住您的首选项并显示相关内容,包括相关广告。要接受或拒绝所有非必要 Cookie,请单击“接受”或“拒绝”。要做出更详细的选择,请单击“自定义”。

首选项
联系我们
反馈
AWS Documentation
创建 AWS 账户
VPC 资源的资源配置 - Amazon VPC Lattice
资源配置的类型资源网关资源定义协议端口范围访问 资源与服务网络类型关联服务网络的类型通过共享资源配置 AWS RAM监控

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

VPC 资源的资源配置

PDFRSS

资源配置表示您希望允许其他 VPCs 和账户中的客户访问的资源或一组资源。通过定义资源配置,您可以允许从其他 VPCs 和账户中的客户端到您的 VPC 中的资源的私有、安全、单向的网络连接。资源配置与资源网关关联,通过该资源网关接收流量。要从其他 VPC 访问资源,需要对其进行资源配置。

内容

资源配置的类型

资源配置可以有几种类型。不同的类型有助于代表不同类型的资源。错误类型包括:

  • 单一资源配置:表示 IP 地址或域名。它可以独立共享。

  • 组资源配置:它是子资源配置的集合。它可以用来表示一组 DNS 和 IP 地址端点。

  • 子资源配置:它是组资源配置的成员。它代表一个 IP 地址或域名。它不能单独共享;只能作为群组的一部分共享。可以将其添加到群组中或从群组中删除。添加后,可以访问该群组的用户可以自动访问该群组。

  • ARN 资源配置:表示由服务配置的支持的资源类型。 AWS 任何团体与子女的关系都会自动得到处理。

下图显示了单个、子资源和组资源配置:

单个、子资源和组资源配置。

资源网关

资源配置与资源网关关联。资源网关是一组资源网关 ENIs ,用作资源所在的 VPC 的入口点。多个资源配置可以与同一个资源网关关联。当其他 VPCs 或账户中的客户访问您的 VPC 中的资源时,该资源会看到来自该 VPC 中资源网关 IP 地址的本地流量。

资源定义

在资源配置中,通过以下方式之一标识资源:

  • 亚马逊资源名称 (ARN):由服务(例如 Amazon RDS 数据库)配置的支持的资源类型可以通过其 ARN 来 AWS 识别。

  • 域名目标:您可以使用任何可公开解析的域名。如果您的域名指向位于您的 VPC 之外的 IP,则您的 VPC 中必须有 NAT 网关。

  • IP 地址:对于 IPv4,请指定以下范围内的私有 IP:10.0.0.0/8、100.64.0.0/10、172.16.0.0/12、192.16.0.0/12、192.168.0.0/16。对于 IPv6,请指定来自 VPC 的 IP。 IPs 不支持公开。

协议

创建资源配置时,可以定义该资源将支持的协议。当前,仅支持 TCP 协议。

端口范围

创建资源配置时,您可以定义它将接受请求的端口。不允许客户端通过其他端口进行访问。

访问 资源

消费者可以使用 VPC 终端节点或通过服务网络直接从其 VPC 访问资源配置。作为使用者,您可以允许从您的 VPC 访问您账户中的资源配置或通过其他账户与您共享的资源配置 AWS RAM。

  • 直接访问资源配置

    您可以在 AWS PrivateLink VPC 中创建资源类型(资源终端节点)的 VPC 终端节点,以便从您的 VPC 私下访问资源配置。有关如何创建资源终端节点的更多信息,请参阅AWS PrivateLink用户指南中的访问 VPC 资源

  • 通过服务网络访问资源配置

    您可以将资源配置关联到服务网络,并将您的 VPC 连接到服务网络。您可以通过关联或使用服务网络 VPC 终端节点将您的 VPC 连接到 AWS PrivateLink 服务网络。

    有关服务网络关联的更多信息,请参阅管理VPC Lattice服务网络的关联

    有关服务网络 VPC 终端节点的更多信息,请参阅AWS PrivateLink 用户指南中的访问服务网络

与服务网络类型关联

当您与使用者账户(例如 Account-B)共享资源配置时,Account-B 可以通过资源 VPC 终端节点直接访问资源配置,也可以通过服务网络访问资源配置。 AWS RAM

要通过服务网络访问资源配置,Account-B 必须将资源配置与服务网络相关联。服务网络可在账户之间共享。因此,Account-B 可以与 Account-C 共享其服务网络(资源配置与之关联),从而使您的资源可以从 Account-C 访问。

为了防止此类传递共享,您可以指定不能将您的资源配置添加到可在账户之间共享的服务网络中。如果您指定此项,则 Account-B 将无法将您的资源配置添加到共享或将来可以与其他账户共享的服务网络中。

服务网络的类型

当您通过 AWS RAM与其他账户(例如 Account-B)共享资源配置时,Account-B 可以通过以下三种方式之一访问资源配置中指定的资源:

  • 使用资源类型的 VPC 终端节点(资源 VPC 终端节点)。

  • 使用服务网络类型的 VPC 终端节点(服务网络 VPC 终端节点)。

  • 使用服务网络 VPC 关联。

对于服务网络 VPC 端点和服务网络 VPC 关联,资源配置必须与账户 B 中的服务网络相关联。 服务网络可在账户之间共享。因此,Account-B 可以与 Account-C 共享其服务网络(包含资源配置),从而使您的资源可以从 Account-C 访问。 为了防止此类传递共享,您可以禁止将您的资源配置添加到可在账户之间共享的服务网络中。如果您不允许这样做,那么 Account-B 将无法将您的资源配置添加到共享或可以与其他账户共享的服务网络中。

通过共享资源配置 AWS RAM

资源配置与集成 AWS Resource Access Manager。您可以通过与其他账户共享您的资源配置 AWS RAM。当您与账户共享资源配置时,该 AWS 账户中的客户可以私下访问该资源。您可以使用中的资源共享共享共享资源配置 AWS RAM。

使用 AWS RAM 控制台查看您已添加到的资源共享、您可以访问的共享资源以及与您共享资源的 AWS 账户。有关更多信息,请参阅《AWS RAM 用户指南》与您共享的资源

要从与资源配置相同的账户中的其他 VPC 访问资源,您无需通过共享资源配置 AWS RAM。

监控

您可以对资源配置启用监控日志。您可以选择要将日志发送到的目的地。

下一主题:

创建资源配置

上一主题:

删除资源网关

需要帮助吗?

隐私网站条款Cookie 首选项
© 2025, Amazon Web Services, Inc. 或其附属公司。保留所有权利。