AWS Directory Service 使用 API 和接口 Amazon VPC 端點 AWS PrivateLink - AWS Directory Service

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AWS Directory Service 使用 API 和接口 Amazon VPC 端點 AWS PrivateLink

您可以建立面虛擬私人雲端端點,在 Amazon VPC 和 AWS Directory Service API 端點之間建立私有連線。界面端點是採用 AWS PrivateLink 技術。

AWS PrivateLink 可讓您在沒有網際網路閘道、NAT 裝置、VPN 連線或 AWS Direct Connect 連線的情況下私密存取 AWS Directory Service API 作業。VPC 與 AWS Directory Service 不會離開 AWS 網路之間的流量。

每個介面端點都由子網路中的一個或多個彈性網路介面表示。如需 elastic network interface 的詳細資訊,請參閱 Amazon EC2 使用者指南中的彈性網路界面

如需 VPC 端點的詳細資訊,請參Amazon VPC AWS 服務 使用者指南中的使用介面 VPC 端點存取。如需 AWS Directory Service API 作業的詳細資訊,請參閱 AWS Directory Service API 參考資料。

VPC 端點的考量事項

在為 AWS Directory Service API 端點設定介面 VPC 端點之前,請務必檢閱指南中的 AWS 服務 使用介面 VPC 端點存取AWS PrivateLink 。

所有與管理 AWS Directory Service 資源相關的 AWS Directory Service API 操作都可以從 VPC 使用 AWS PrivateLink.

Directory Service API 端點支援 VPC 端點原則。依預設,允許透過端點完整存取 Directory Service API 作業。如需詳細資訊,請參閱 Amazon VPC 使用者指南中的使用端點政策控制對 VPC 端點的存取。

可用性

AWS Directory Service 在下列情況下支援 VPC 端點: AWS 區域

AWS 區域 可用性

  • 美國東部 (維吉尼亞北部)

  • 美國東部 (俄亥俄)

  • 美國西部 (加利佛尼亞北部)

  • 美國西部 (奧勒岡)

  • 非洲 (開普敦)

  • 亞太區域 (香港)

  • 亞太區域 (海德拉巴)

  • 亞太區域 (雅加達)

  • 亞太區域 (墨爾本)

  • 亞太區域 (孟買)

  • 亞太區域 (大阪)

  • 亞太區域 (首爾)

  • 亞太區域 (新加坡)

  • 亞太區域 (雪梨)

  • 亞太區域 (東京)

  • 加拿大 (中部)

  • 加拿大西部 (卡加利)

  • 中國 (北京、寧夏)

  • 亞太區域 (香港)

  • 歐洲 (法蘭克福)

  • 歐洲 (愛爾蘭)

  • 歐洲 (倫敦)

  • 歐洲 (米蘭)

  • Europe (Paris)

  • 歐洲 (西班牙)

  • 歐洲 (斯德哥爾摩)

  • 歐洲 (蘇黎世)

  • 以色列 (特拉維夫)

  • Middle East (Bahrain)

  • 中東 (阿拉伯聯合大公國)

  • 南美洲 (聖保羅)

  • AWS GovCloud (美國東部)

  • AWS GovCloud (美國西部)

建立 AWS Directory Service API 的介面端點

您可以使用 Amazon VPC 主控台或 AWS Command Line Interface (AWS CLI) 建立 AWS Directory Service API 的虛擬私人雲端介面端點。如需詳細資訊,請參閱《AWS PrivateLink 指南》中的建立 VPC 端點

使用下列服務名稱建立 AWS Directory Service API 的介面端點:com.amazonaws.region.ds

AWS 區域 在中國排除,如果您為端點啟用私 AWS Directory Service 有 DNS,則可以使用 VPC 端點的預設 DNS 名稱 (例ds.us-east-1.amazonaws.com如) 向 VPC 端點發出 API 要求。 AWS 區域對於中國(北京和寧夏) AWS 區域,您可以分別使用ds-api.cn-north-1.amazonaws.com.cnds-api.cn-northwest-1.amazonaws.com.cn向 VPC 端點發出 API 請求。

如需詳細資訊,請參Amazon VPC AWS 服務 使用者指南中的使用介面 VPC 端點存取。

為 AWS Directory Service API 建立 VPC 端點政策

您可以將端點政策連接至控制 AWS Directory Service API 存取權限的 VPC 端點。此政策會指定下列資訊:

  • 可執行動作的主體。

  • 可執行的動作。

  • 可供執行動作的資源。

如需詳細資訊,請參閱 Amazon VPC 使用者指南中的使用端點政策控制對 VPC 端點的存取。

範例:適用於 AWS Directory Service API 動作的 VPC 端點原則

以下是 AWS Directory Service API 端點策略的示例。當您將此原則附加至介面端點時,它會授與所有資源上所有主體列出之 AWS Directory Service API 動作的存取權。

{ "Statement": [ { "Principal": "*", "Effect": "Allow", "Action": [ "ds:DescribeDirectories", "ds:DescribeCertificate", ], "Resource":"*" } ] }
範例:拒絕來自指定之所有存取的 VPC 端點原則 AWS 帳戶

下列 VPC 端點策略會拒絕所有使用該端點存取資源的 AWS 帳戶 123456789012。此政策允許來自其他帳戶的所有動作。

{ "Statement": [ { "Action": "*", "Effect": "Allow", "Resource": "*", "Principal:" "*" }, { "Action": "*", "Effect": "Deny", "Resource": "*", "Principal": { "AWS": [ "123456789012" ] } ] }