使用介面端點存取 AWS Directory Service API (AWS PrivateLink) - AWS Directory Service

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用介面端點存取 AWS Directory Service API (AWS PrivateLink)

您可以使用 AWS PrivateLink 在 VPC 和 AWS Directory Service API 之間建立私有連線。您可以如在 VPC 中一樣存取 AWS Directory Service API,無需使用網際網路閘道、NAT 裝置、VPN 連線或 AWS Direct Connect 連線。VPC 中的執行個體無需公有 IP 地址,即可存取 AWS Directory Service API。

您可以建立由 AWS PrivateLink 提供支援的介面端點來建立此私有連線。我們會在您為介面端點啟用的每個子網中建立端點網路介面。這些是請求者管理的網路介面,可作為目的地為 AWS Directory Service 之流量的進入點。

如需詳細資訊,請參閱《AWS PrivateLink 指南》中的透過 AWS PrivateLink 存取 AWS 服務

AWS Directory Service 的考量

在您為 AWS Directory Service API 端點設定介面端點之前,請檢閱《AWS PrivateLink 指南》中的考量事項

AWS Directory Service 支援透過介面端點呼叫其所有 API 動作。

可用性

AWS Directory Service 支援下列 AWS 區域 中的 VPC 端點:

  • 美國東部 (維吉尼亞北部)

  • AWS GovCloud (美國西部)

  • AWS GovCloud (美國東部)

為 AWS Directory Service 建立介面端點

您可使用 Amazon VPC 主控台或 AWS Command Line Interface (AWS CLI) 來為 AWS Directory Service API 建立介面端點。如需詳細資訊,請參閱《AWS PrivateLink 指南》中的建立介面端點

使用下列服務名稱為 AWS Directory Service API 介面端點:

com.amazonaws.region.ds

為您的介面端點建立端點政策

端點政策為 IAM 資源,您可將其連接至介面端點。預設端點政策可允許透過介面端點完整存取 AWS Directory Service API。若要控制 VPC 對 AWS Directory Service API 的存取權限,請將自訂端點政策連接至介面端點。

端點政策會指定以下資訊:

  • 可執行動作的主體 (AWS 帳戶、IAM 使用者和 IAM 角色)。

  • 可執行的動作。

  • 可供執行動作的資源。

如需詳細資訊,請參閱《AWS PrivateLink 指南》中的使用端點政策控制對服務的存取

範例:AWS Directory Service API 動作的 VPC 端點政策

以下是自訂端點政策的範例。將此政策附加至介面端點後,此政策會針對所有資源上的所有主體,授予列出的 AWS Directory Service 動作的存取權限。將 action-1action-2action-3 替換所需的許可,用於您想要包含在政策中的 AWS Directory Service API。如需完整清單,請參閱AWS Directory Service API 許可:動作、資源和條件參考

{ "Statement": [ { "Principal": "*", "Effect": "Allow", "Action": [ "ds:action-1", "ds:action-2", "ds:action-3" ], "Resource":"*" } ] }