建立 EC2 Instance Connect Endpoint
可在 VPC 的子網路中建立 EC2 Instance Connect Endpoint。然後,使用 EC2 Instance Connect Endpoint 連線至 VPC 中的執行個體,不需要執行個體擁有公有 IPv4 地址。
EC2 Instance Connect Endpoint 支援用戶端 IP 保留。可以將 EC2 Instance Connect Endpoint 設定為在連線至執行個體時,將用戶端的 IP 地址用作來源 (preserveClientIp 參數為 true)。
建立 EC2 Instance Connect Endpoint 時,系統會自動在 AWS Identity and Access Management (IAM) 中為 Amazon EC2 服務建立服務連結角色。Amazon EC2 使用服務連結角色在網路介面中佈建帳戶,這在建立 EC2 Instance Connect Endpoint 時是必需的。如需詳細資訊,請參閱 EC2 Instance Connect Endpoint 的服務連結角色。
建立 EC2 執行個體連線端點後,就無法修改它。如果您想要其他端點設定,就必須刪除 EC2 執行個體連線端點,然後使用所需的設定建立新的端點。
先決條件
您必須具有必要的 IAM 許可才能建立 EC2 Instance Connect Endpoint。如需詳細資訊,請參閱 允許使用者建立、描述和刪除 EC2 Instance Connect Endpoint。
建立 EC2 Instance Connect Endpoint
使用下列其中一種方法來建立 EC2 Instance Connect Endpoint。
- Console
-
建立 EC2 Instance Connect Endpoint
在 https://console.aws.amazon.com/vpc/ 開啟 Amazon VPC 主控台。
-
在左側導覽窗格中選擇 Endpoints (端點)。
-
選擇建立端點,然後完成對話方塊中的設定,如下所示:
-
(選用) 針對名稱標籤,請輸入端點的名稱。
-
針對服務類別,請選擇 EC2 Instance Connect Endpoint。
-
針對 VPC,選取要在其中建立端點的 VPC。
-
展開其他設定,針對保留用戶端 IP,執行下列其中一個動作:
-
若您想在連線至執行個體時將用戶端的 IP 地址用作來源,請選取核取方塊。
注意:開啟保留用戶端 IP 時,執行個體的安全群組必須允許來自用戶端 IP 地址的流量。如需詳細資訊,請參閱 執行個體安全群組規則。
-
若您要在連線至執行個體時將彈性網路介面 IP 地址用作來源,請清除核取方塊。當保留用戶端 IP 關閉時,您可以連線到可從 VPC 中路由的任何 IP 地址。
-
(選用) 針對安全群組,選取要與端點產生關聯的安全群組。如果未選取安全群組,VPC 的預設安全群組將與端點建立關聯。如需詳細資訊,請參閱 EC2 Instance Connect Endpoint 的安全群組。
-
針對子網路,請選取要在其中建立端點的子網路。
-
(選用) 若要新增標籤,請選擇 Add new tag (新增標籤),然後輸入標籤的鍵和值。
-
選擇 Create endpoint (建立端點)。
初始狀態為 Pending (等待中)。在使用此端點連線至執行個體之前,請等待狀態變為可用。這可能需要幾分鐘的時間。若要監控端點狀態,請參閱 描述 EC2 Instance Connect Endpoint。
- AWS CLI
-
建立 EC2 Instance Connect Endpoint
使用 create-instance-connect-endpoint AWS CLI 命令並指定要在其中建立 EC2 Instance Connect Endpoint 的子網路。請務必使用最新版本的 AWS CLI。
aws ec2 create-instance-connect-endpoint --region us-east-1 --subnet-id subnet-0123456789example
範例輸出
{
"VpcId": "vpc-0123abcd",
"InstanceConnectEndpointArn": "arn:aws:ec2:us-east-1:111111111111:instance-connect-endpoint/eice-0123456789example",
"AvailabilityZone": "us-east-1a",
"NetworkInterfaceIds": [
"eni-0123abcd"
],
"PreserveClientIp": true,
"Tags": [],
"FipsDnsName": "eice-0123456789example.0123abcd.fips.ec2-instance-connect-endpoint.us-east-1.amazonaws.com",
"StateMessage": "",
"State": "create-complete",
"DnsName": "eice-0123456789example.0123abcd.ec2-instance-connect-endpoint.us-east-1.amazonaws.com",
"SubnetId": "subnet-0123abcd",
"OwnerId": "111111111111",
"SecurityGroupIds": [
"sg-0123abcd"
],
"InstanceConnectEndpointId": "eice-0123456789example",
"CreatedAt": "2023-04-07T15:43:53.000Z"
}
State 欄位的初始值為 create-in-progress。在您可使用此端點連線至執行個體之前,請等待狀態變為 create-complete。這可能需要幾分鐘的時間。若要監控端點狀態,請參閱 描述 EC2 Instance Connect Endpoint。
描述 EC2 Instance Connect Endpoint
使用下列其中一種方法來描述 EC2 Instance Connect Endpoint。
- Console
-
- AWS CLI
-
描述 EC2 Instance Connect Endpoint
使用 describe-instance-connect-endpoints AWS CLI 命令並指定 EC2 Instance Connect Endpoint ID。
aws ec2 describe-instance-connect-endpoints --region us-east-1 --instance-connect-endpoint-ids eice-0123456789example
輸出範例:若要使用端點連線至執行個體,State 欄位必須顯示 create-complete。
{
"InstanceConnectEndpoints": [
{
"OwnerId": "111111111111",
"InstanceConnectEndpointId": "eice-0123456789example",
"InstanceConnectEndpointArn": "arn:aws:ec2:us-east-1:111111111111:instance-connect-endpoint/eice-0123456789example",
"State": "create-complete",
"StateMessage": "",
"DnsName": "eice-0123456789example.b67b86ba.ec2-instance-connect-endpoint.us-east-1.amazonaws.com",
"NetworkInterfaceIds": [
"eni-0123456789example"
],
"VpcId": "vpc-0123abcd",
"AvailabilityZone": "us-east-1d",
"CreatedAt": "2023-02-07T12:05:37+00:00",
"SubnetId": "subnet-0123abcd",
"Tags": []
}
]
}
