WKLD.12 — 使用 VPC 終端節點訪問受支持的服務 - AWS規範指導

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

WKLD.12 — 使用 VPC 終端節點訪問受支持的服務

在 VPC 中,需要訪問 AWS 或其他外部服務的資源需要通往互聯網的路由(0.0.0.0/0)或目標服務的公有 IP 地址。使用 VPC 終端節點啟用從您的 VPC 到受支持的私有 IP 路由AWS或其他服務,防止需要使用 Internet 網路網路、NAT 設備、虛擬私有網路 (VPN) 連接,或AWS Direct Connect連線。

VPC 終端節點支持附加策略和安全組,以進一步控制對服務的訪問。例如,您可以為 Amazon DynamoDB 編寫 VPC 終端節點策略,以便僅允許項目級別的操作,並阻止對 VPC 中所有資源執行表級別的操作,而無論其自身的權限策略如何。您還可以編寫 S3 存儲桶策略,以便僅允許源自特定 VPC 終端節點的請求,從而拒絕所有其他外部訪問。VPC 終端節點還可以具有一個安全組規則,例如,該規則僅限制對與應用程序特定安全組(如 Web 應用程序的業務邏輯層)關聯的 EC2 實例的訪問。

有不同種類的 VPC 終端節點。您可以使用 VPC 界面端點訪問大多數服務。DynamoDB 是使用網關端點進行訪問的。Amazon S3 支援界面端點和網關端點。建議將網關終端節點用於包含在單個AWS帳户和區域,並免費提供額外費用。如果需要更具可擴展性的訪問,例如從其他 VPC、本地網絡或不同的AWS 區域。接口終端節點會產生每小時的正常運行時間費用和每 GB 數據處理費用,這兩種費用都低於將數據發送到0.0.0.0/0通過AWSNAT 閘道。

有關使用 VPC 終端節點的其他信息,請參閲以下資源: