使用 AWS STS 介面 VPC 端點 - AWS Identity and Access Management

使用 AWS STS 介面 VPC 端點

如果您使用 Amazon Virtual Private Cloud (Amazon VPC) 來託管您的 AWS 資源,可以在您的 VPC 與 AWS STS 之間建立連線。您可以使用此連線來啟用 AWS STS 不用透過公有網際網路在 VPC 與您的資源進行通訊。

Amazon VPC 是一項 AWS 服務,您可用來在自己定義的虛擬網路中啟動 AWS 資源。您可利用 VPC 來控制您的網路設定,例如 IP 地址範圍、子網路、路由表和網路閘道。若要將您的 VPC 連接到 AWS STS,請定義 AWS STS 的 VPC 端點介面。端點能為 AWS STS 提供可靠、可擴展性的連線,無須使用網際網路閘道、網路位址轉譯 (NAT) 執行個體或 VPN 連接。如需詳細資訊,請參閱《Amazon VPC 使用者指南》中的什麼是 Amazon VPC?

VPC 端點界面是由 AWS PrivateLink 的 AWS 技術,讓私有通訊使用於彈性網路界面與 AWS 服務之間的私有 IP 地址。如需詳細資訊,請參閱 AWS 服務的 AWS PrivateLink

下列步驟適用於 Amazon VPC 的使用者。如需詳細資訊,請參閱《Amazon VPC 使用者指南》中的 Amazon VPC 入門

Availability

AWS STS 目前在下列區域支援 VPC 端點:

  • 美國東部 (俄亥俄)

  • 美國東部 (維吉尼亞北部)

  • 美國西部 (加利佛尼亞北部)

  • 美國西部 (奧勒岡)

  • Africa (Cape Town)

  • 亞太區域 (香港)

  • 亞太區域 (孟買)

  • Asia Pacific (Osaka)

  • 亞太區域 (首爾)

  • 亞太區域 (新加坡)

  • 亞太區域 (雪梨)

  • 亞太區域 (東京)

  • 加拿大 (中部)

  • 中國 (北京)

  • China (Ningxia)

  • 歐洲 (法蘭克福)

  • 歐洲 (愛爾蘭)

  • 歐洲 (倫敦)

  • 歐洲 (米蘭)

  • Europe (Paris)

  • Europe (Stockholm)

  • Middle East (Bahrain)

  • 南美洲 (聖保羅)

  • AWS GovCloud (US-East)

  • AWS GovCloud (US-West)

建立 AWS STS 的 VPC 端點

若要以 VPC 開始使用 AWS STS,請建立 AWS STS 的 VPC 端點界面。如需詳細資訊,請參閱《Amazon VPC 使用者指南》中的建立界面端點

建立 VPC 終端節點,您必須使用相符的區域端點傳送 AWS STS 請求。AWS STS 建議您同時使用 setRegionsetEndpoint 方法來對區域端點進行呼叫。您可以單獨將 setRegion 方法用在手動啟用的區域,例如亞太區域 (香港)。在這種情況下,系統會將呼叫導向 STS 區域端點。如要了解如何手動啟用區域,請參閱《AWS 一般參考》中的管理 AWS 區域。如果您單獨將 setRegion 方法用在預設啟用的區域,系統會將呼叫導向 https://sts.amazonaws.com 的全域端點。

當您使用區域性端點時,AWS STS 會使用使用中的公有或私有界面 VPC 端點呼叫其他 AWS 服務。例如,假設您已為 AWS STS 建立界面 VPC 端點,並且已經從位於 VPC 資源的 AWS STS 請求暫時憑證。在這種情況下,依預設這些憑證會開始流過界面 VPC 端點。如需有關使用 AWS STS 提出區域請求的詳細資訊,請參閱 在 AWS STS 區域中管理 AWS