設定端點服務

建立端點服務之後，您可更新其組態。

管理許可

使用權限和接受設定的組合可協助您控制哪些服務取用者 (AWS 主體) 可以存取您的端點服務。例如，您可將許可授予您信任的特定主體，自動接受所有連線請求，或者可將許可授予更大的主體群組，以手動方式接受您信任的特定連線請求。

根據預設，服務消費者無法使用您的端點服務。您必須新增允許特定 AWS 主體建立介面 VPC 端點以連線到端點服務的權限。若要為 AWS 主體新增許可，您需要其 Amazon 資源名稱 (ARN)。以下清單包含適用於支援的 AWS 主體的範例 ARN。

主 AWS 參與者的 ARN

AWS 帳戶 (包括帳戶中的所有主參與者)

arn:aws:iam::account_id:root

角色

arn:aws:iam::account_id:role/role_name

使用者

arn:aws:iam::account_id:user/user_name

全部中的所有主參與者 AWS 帳戶

*

考量事項

• 如果您授予所有人存取端點服務的許可，並將端點服務設定為接受所有請求，即使負載平衡器沒有公有 IP 地址，它也將是公有的。

• 如果您移除權限，則不會影響端點與先前接受的服務之間的現有連線。

使用主控台為您的端點服務管理許可

1. 在 https://console.aws.amazon.com/vpc/ 開啟 Amazon VPC 主控台。

2. 在導覽窗格中，選擇 Endpoints Services (端點服務)。

3. 選取端點服務，然後選擇 Allow principals (允許主體) 索引標籤。

4. 若要新增權限，請選擇 Allow principals (允許主體)。針對 Principals to add (要新增的主體)，輸入主體的 ARN。若要新增其他委託人，請選擇 Add principal (新增委託人)。您完成新增主體時，請選擇 Allow principals (允許主體)。

5. 若要移除許可，請選取主體，然後選擇 Actions (動作)、Delete (刪除)。出現確認提示時，請輸入 delete，然後選擇 Delete (刪除)。

若要使用命令列為您的端點服務新增許可

• modify-vpc-endpoint-service-permissions (AWS CLI)

• Edit-EC2EndpointServicePermission(視窗工具 PowerShell)

接受或拒絕連線請求

使用權限和接受設定的組合可協助您控制哪些服務取用者 (AWS 主體) 可以存取您的端點服務。例如，您可將許可授予您信任的特定主體，自動接受所有連線請求，或者可將許可授予更大的主體群組，以手動方式接受您信任的特定連線請求。

您可以設定端點服務以自動接受連線請求。否則，您必須手動接受或拒絕它們。如果您不接受連線請求，服務消費者就無法存取您的端點服務。

當接受或拒絕連線請求時，您會收到通知。如需詳細資訊，請參閱 接收端點服務事件的提醒。

考量事項

• 如果您授予所有人存取端點服務的許可，並將端點服務設定為接受所有請求，即使負載平衡器沒有公有 IP 地址，它也將是公有的。

• 如果您拒絕已接受的要求，則不會影響端點與服務之間的連線。

使用主控台修改接受設定

1. 在 https://console.aws.amazon.com/vpc/ 開啟 Amazon VPC 主控台。

2. 在導覽窗格中，選擇 Endpoints Services (端點服務)。

3. 選取端點服務。

4. 選擇 Actions (動作)、Modify endpoint acceptance setting (修改端點接受設定)。

5. 選擇或清除 Acceptance required (需要接受)。

6. 選擇 Save changes (儲存變更)

若要使用命令列修改接受設定

• modify-vpc-endpoint-service-configuration (AWS CLI)

• Edit-EC2VpcEndpointServiceConfiguration(視窗工具 PowerShell)

使用主控台接受或拒絕連線請求

1. 在 https://console.aws.amazon.com/vpc/ 開啟 Amazon VPC 主控台。

2. 在導覽窗格中，選擇 Endpoints Services (端點服務)。

3. 選取端點服務。

4. 從 Endpoint connections (端點連線) 標籤中，選取端點連線。

5. 若要接受連線請求，請選擇 Actions (動作)、Accept endpoint connection request (接受端點連線請求)。出現確認提示時，請輸入 accept，然後選擇 Accept (接受)。

6. 若要拒絕連線請求，請選擇 Actions (動作)、Reject endpoint connection request (拒絕端點連線請求)。出現確認提示時，請輸入 reject，然後選擇 Reject (拒絕)。

若要使用命令列接受或拒絕連線請求

• accept-vpc-endpoint-connections 或 reject-vpc-endpoint-connections (AWS CLI)

• Approve-EC2EndpointConnection或 Deny-EC2EndpointConnection(視窗工具 PowerShell)

管理負載平衡器

您可以管理與端點服務相關聯的負載平衡器。如果端點已連接到您的端點服務，則無法取消關聯負載平衡器。

如果您為 Network Load Balancer 啟用其他可用區域，也可以為您的端點服務啟用可用區域。為端點服務啟用可用區域後，服務取用者可以將子網路從該可用區域新增至其介面 VPC 端點。

使用主控台管理端點服務的負載平衡器

1. 在 https://console.aws.amazon.com/vpc/ 開啟 Amazon VPC 主控台。

2. 在導覽窗格中，選擇 Endpoints Services (端點服務)。

3. 選取端點服務。

4. 選擇 Actions (動作)、Associate or disassociate load balancers (關聯/取消關聯負載平衡器)。

5. 視需要變更端點服務組態。例如：

   • 選取負載平衡器的核取方塊，以將其與端點服務產生關聯。

   • 清除負載平衡器的核取方塊，以取消其與端點服務的關聯。您必須保持至少選取一個負載平衡器。

   • 如果您最近為負載平衡器啟用了另一個可用區域，它會出現在包含的可用區域下。如果您在下一個步驟中儲存變更，這會啟用新可用區域的端點服務。

6. 選擇 Save changes (儲存變更)

使用命令列管理端點服務的負載平衡器

• modify-vpc-endpoint-service-configuration (AWS CLI)

• Edit-EC2VpcEndpointServiceConfiguration(視窗工具 PowerShell)

若要在最近為負載平衡器啟用的可用區域中啟用端點服務，只需使用端點服務的 ID 呼叫命令即可。

關聯私有 DNS 名稱

您可以將私有 DNS 名稱與您的端點服務建立關聯。在關聯私有 DNS 名稱之後，您必須在您的 DNS 伺服器上更新網域項目。在服務消費者使用私有 DNS 名稱之前，服務提供者必須確認他們擁有該網域。如需詳細資訊，請參閱 管理 DNS 名稱。

使用主控台修改端點服務私有 DNS 名稱

1. 在 https://console.aws.amazon.com/vpc/ 開啟 Amazon VPC 主控台。

2. 在導覽窗格中，選擇 Endpoints Services (端點服務)。

3. 選取端點服務。

4. 選擇 Actions (動作)、Modify private DNS name (修改私有 DNS 名稱)。

5. 選取 Associate a private DNS name with the serivce (將私有 DNS 名稱與服務建立關聯)，並輸入私有 DNS 名稱。

   • 網域名稱必須為小寫。

   • 您可以在網域名稱中使用萬用字元 (例如，*.myexampleservice.com)。

6. 選擇儲存變更。

7. 當驗證狀態為 verified (已驗證) 時，私有 DNS 名稱即可供服務消費者使用。如果驗證狀態變更，新的連線請求會遭到拒絕，但現有的連線不受影響。

若要使用命令列修改端點服務私有 DNS 名稱

• modify-vpc-endpoint-service-configuration (AWS CLI)

• Edit-EC2VpcEndpointServiceConfiguration(視窗工具 PowerShell)

若要使用主控台來啟動網域驗證程序

1. 在 https://console.aws.amazon.com/vpc/ 開啟 Amazon VPC 主控台。

2. 在導覽窗格中，選擇 Endpoints Services (端點服務)。

3. 選取端點服務。

4. 選擇 Actions (動作)、Verify domain ownership for private DNS name (驗證私有 DNS 名稱的網域所有權)。

5. 出現確認提示時，請輸入 verify，然後選擇 Verify (確認)。

若要使用命令列來啟動網域驗證程序

• start-vpc-endpoint-service-private-dns-verification (AWS CLI)

• Start-EC2VpcEndpointServicePrivateDnsVerification(視窗工具 PowerShell)

修改支援的 IP 地址類型

您可以變更端點服務支援的 IP 地址類型。

考量事項

若要讓端點服務能夠接受 IPv6 請求，其 Network Load Balancer 必須使用雙堆疊 IP 地址類型。目標不需要支援 IPv6 流量。如需詳細資訊，請參閱《Network Load Balancer 使用者指南》中的 IP 地址類型。

若要使用主控台修改支援的 IP 地址

1. 在 https://console.aws.amazon.com/vpc/ 開啟 Amazon VPC 主控台。

2. 在導覽窗格中，選擇 Endpoints Services (端點服務)。

3. 選取 VPC 端點服務。

4. 選擇 Actions (動作)、Modify supported IP address types (修改支援的 IP 地址類型)。

5. 針對 Supported IP address types (支援的 IP 地址類型)，執行下列其中一個操作：

   • 選取 IPv4 - 啟用端點服務以接受 IPv4 請求。

   • 選取 IPv6 - 啟用端點服務以接受 IPv6 請求。

   • 選取 IPv4 和 IPv6 - 啟用端點服務以接受 IPv4 和 IPv6 請求。

6. 選擇儲存變更。

使用命令列修改支援的 IP 地址類型

• modify-vpc-endpoint-service-configuration (AWS CLI)

• Edit-EC2VpcEndpointServiceConfiguration(視窗工具 PowerShell)

管理標籤

您可標記您的資源，以幫助您根據組織需求來進行識別或分類。

使用主控台為您的端點服務管理標籤

1. 在 https://console.aws.amazon.com/vpc/ 開啟 Amazon VPC 主控台。

2. 在導覽窗格中，選擇 Endpoints Services (端點服務)。

3. 選取 VPC 端點服務。

4. 選擇 Actions (動作)、Manage tags (管理標籤)。

5. 針對每個要新增的標籤，請選擇 Add new tag (新增標籤)，然後輸入標籤的鍵和值。

6. 若要移除標籤，請選擇標籤金鑰和值右側的 Remove (移除)。

7. 選擇儲存。

使用主控台為您的端點連線管理標籤

1. 在 https://console.aws.amazon.com/vpc/ 開啟 Amazon VPC 主控台。

2. 在導覽窗格中，選擇 Endpoints Services (端點服務)。

3. 選取 VPC 端點服務，然後選擇 Endpoint connections (端點連線) 索引標籤。

4. 選取端點連線，然後選擇 Actions (動作)、Manage tags (管理標籤)。

5. 針對每個要新增的標籤，請選擇 Add new tag (新增標籤)，然後輸入標籤的鍵和值。

6. 若要移除標籤，請選擇標籤金鑰和值右側的 Remove (移除)。

7. 選擇儲存。

使用主控台為您的端點服務許可管理標籤

1. 在 https://console.aws.amazon.com/vpc/ 開啟 Amazon VPC 主控台。

2. 在導覽窗格中，選擇 Endpoints Services (端點服務)。

3. 選取 VPC 端點服務，然後選擇 Allow principals (允許主體) 索引標籤。

4. 選取主體，然後選擇 Actions (動作)、Manage tags (管理標籤)。

5. 針對每個要新增的標籤，請選擇 Add new tag (新增標籤)，然後輸入標籤的鍵和值。

6. 若要移除標籤，請選擇標籤金鑰和值右側的 Remove (移除)。

7. 選擇儲存。

若要使用命令列新增和移除標籤

• create-tags 和 delete-tags (AWS CLI)

• New-EC2Tag和 Remove-EC2Tag(視窗工具 PowerShell)