本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用接口端點訪問 AWS Directory Service API- AWS PrivateLink
您可以使 AWS PrivateLink 用在 VPC 和 AWS Directory Service API 之間建立私人連線。您可以像在 VPC 中一樣存取 AWS Directory Service API,而無需使用網際網路閘道、NAT 裝置、VPN 連線或 AWS Direct Connect 連線。VPC 中的執行個體不需要公有 IP 位址即可存取 AWS Directory Service API。
您可以建立由 AWS PrivateLink提供支援的介面端點來建立此私有連線。我們會在您為介面端點啟用的每個子網中建立端點網路介面。這些是請求者管理的網路介面,可作為目的地為 AWS Directory Service之流量的進入點。
如需詳細資訊,請參閱AWS PrivateLink 指南 AWS PrivateLink中的 AWS 服務 透過存取。
的注意事項 AWS Directory Service
在為 AWS Directory Service API 端點設定介面端點之前,請先參閱AWS PrivateLink 指南中的考量事項。
AWS Directory Service 支援透過介面端點呼叫其所有 API 動作。
可用性
AWS Directory Service 在下列情況下支援 VPC 端點: AWS 區域
美國東部 (維吉尼亞北部)
AWS GovCloud (美國西部)
AWS GovCloud (美國東部)
建立的介面端點 AWS Directory Service
您可以使用 Amazon VPC 主控台或 AWS Command Line Interface (AWS CLI) 建立 AWS Directory Service API 的介面端點。如需詳細資訊,請參閱《AWS PrivateLink 指南》中的建立介面端點。
使用下列服務名稱建立 AWS Directory Service API 的介面端點:
com.amazonaws.region.ds
為您的介面端點建立端點政策
端點政策為 IAM 資源,您可將其連接至介面端點。預設端點策略允許透過介面端點完整存取 AWS Directory Service API。若要控制允許從 VPC 存取 AWS Directory Service API,請將自訂端點原則附加到介面端點。
端點政策會指定以下資訊:
-
可執行動作 (AWS 帳戶、IAM 使用者和 IAM 角色) 的主體。
-
可執行的動作。
-
可供執行動作的資源。
如需詳細資訊,請參閱《AWS PrivateLink 指南》中的使用端點政策控制對服務的存取。
範例:適用於 AWS Directory Service API 動作的 VPC 端點原則
以下是自訂端點政策的範例。當您將此原則附加到介面端點時,它會授與所有資源上所有主參與者所列 AWS Directory Service 動作的存取權。將動作 -1、動作 -2 和動作 -3 取代為您要包含在原則中之 AWS Directory Service API 的必要權限。如需完整清單,請參閱AWS Directory Service API 權限:動作、資源和條件參考。
{ "Statement": [ { "Principal": "*", "Effect": "Allow", "Action": [ "ds:action-1", "ds:action-2", "ds:action-3" ], "Resource":"*" } ] }
