WKLD.12 使用 VPC 端點存取支援的服務

在 VPCs中，需要存取 AWS 或其他外部服務的資源需要路由至網際網路 (0.0.0.0/0) 或目標服務的公有 IP 地址。使用 VPC 端點來啟用從 VPC 到支援 AWS 或其他 服務的私有 IP 路由，避免需要使用網際網路閘道、NAT 裝置、虛擬私有網路 (VPN) 連線或 AWS Direct Connect 連線。

VPC 端點支援附接政策和安全群組以進一步控制對服務的存取。例如，您可以為 Amazon DynamoDB 撰寫 VPC 端點政策，以僅允許項目層級動作並阻止 VPC 中所有資源的資料表層級動作，無論其本身的許可政策為何。您也可以撰寫 S3 儲存貯體政策以僅允許源自特定 VPC 端點的請求，拒絕所有其他外部存取。VPC 端點還可以具有安全群組規則，例如，限制僅存取與應用程式特定的安全群組關聯的 EC2 執行個體，例如 Web 應用程式的商業邏輯層。

有不同類型的 VPC 端點。您可以使用 VPC 介面端點存取大多數服務。使用閘道端點存取 DynamoDB。Amazon S3 同時支援介面和閘道端點。閘道端點建議用於單一 AWS 帳戶和區域中包含的工作負載，無需額外付費。如果需要更多可擴展的存取 (例如從其他 VPC、內部部署網路或不同 AWS 區域存取 S3 儲存貯體)，建議使用介面端點。介面端點會產生每小時的正常運作時間費用和每 GB 的資料處理費用，這兩者都低於0.0.0.0/0透過 AWS NAT Gateway 將資料傳送至 的個別費用。

如需有關使用 VPC 端點的其他資訊，請參閱下列資源：

• 如需在 Amazon S3 的閘道和介面端點之間選取的詳細資訊，請參閱選擇 Amazon S3 的 VPC 端點策略 (AWS 部落格文章）。

• AWS 服務 使用界面 VPC 端點 (Amazon VPC 文件） 存取 。

• 閘道端點 (Amazon VPC 文件）。

• 例如，限制對特定 VPC 或 VPC 端點的存取的 S3 儲存貯體政策，請參閱限制對特定 VPC 的存取 (Amazon S3 文件)。

• 如需限制動作的 DynamoDB 端點政策範例，請參閱 DynamoDB 的端點政策 (Amazon VPC 文件)。