本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
設定端點服務
建立端點服務之後,您可更新其組態。
管理許可
使用權限和接受設定的組合可協助您控制哪些服務取用者 (AWS 主體) 可以存取您的端點服務。例如,您可將許可授予您信任的特定主體,自動接受所有連線請求,或者可將許可授予更大的主體群組,以手動方式接受您信任的特定連線請求。
根據預設,服務消費者無法使用您的端點服務。您必須新增允許特定 AWS 主體建立介面 VPC 端點以連線到端點服務的權限。若要為 AWS 主體新增許可,您需要其 Amazon 資源名稱 (ARN)。以下清單包含適用於支援的 AWS 主體的範例 ARN。
主 AWS 參與者的 ARN
- AWS 帳戶 (包括帳戶中的所有主參與者)
-
arn:aws:iam::
account_id
:root - 角色
-
arn:aws:iam::
account_id
:role/role_name
- 使用者
-
arn:aws:iam::
account_id
:user/user_name
- 全部中的所有主參與者 AWS 帳戶
-
*
考量事項
-
如果您授予所有人存取端點服務的許可,並將端點服務設定為接受所有請求,即使負載平衡器沒有公有 IP 地址,它也將是公有的。
-
如果您移除權限,則不會影響端點與先前接受的服務之間的現有連線。
使用主控台為您的端點服務管理許可
在 https://console.aws.amazon.com/vpc/
開啟 Amazon VPC 主控台。 -
在導覽窗格中,選擇 Endpoints Services (端點服務)。
-
選取端點服務,然後選擇 Allow principals (允許主體) 索引標籤。
-
若要新增權限,請選擇 Allow principals (允許主體)。針對 Principals to add (要新增的主體),輸入主體的 ARN。若要新增其他委託人,請選擇 Add principal (新增委託人)。您完成新增主體時,請選擇 Allow principals (允許主體)。
-
若要移除許可,請選取主體,然後選擇 Actions (動作)、Delete (刪除)。出現確認提示時,請輸入
delete
,然後選擇 Delete (刪除)。
若要使用命令列為您的端點服務新增許可
-
modify-vpc-endpoint-service-permissions (AWS CLI)
-
Edit-EC2EndpointServicePermission(視窗工具 PowerShell)
接受或拒絕連線請求
使用權限和接受設定的組合可協助您控制哪些服務取用者 (AWS 主體) 可以存取您的端點服務。例如,您可將許可授予您信任的特定主體,自動接受所有連線請求,或者可將許可授予更大的主體群組,以手動方式接受您信任的特定連線請求。
您可以設定端點服務以自動接受連線請求。否則,您必須手動接受或拒絕它們。如果您不接受連線請求,服務消費者就無法存取您的端點服務。
當接受或拒絕連線請求時,您會收到通知。如需詳細資訊,請參閱 接收端點服務事件的提醒。
考量事項
-
如果您授予所有人存取端點服務的許可,並將端點服務設定為接受所有請求,即使負載平衡器沒有公有 IP 地址,它也將是公有的。
-
如果您拒絕已接受的要求,則不會影響端點與服務之間的連線。
使用主控台修改接受設定
在 https://console.aws.amazon.com/vpc/
開啟 Amazon VPC 主控台。 -
在導覽窗格中,選擇 Endpoints Services (端點服務)。
-
選取端點服務。
-
選擇 Actions (動作)、Modify endpoint acceptance setting (修改端點接受設定)。
-
選擇或清除 Acceptance required (需要接受)。
-
選擇 Save changes (儲存變更)
若要使用命令列修改接受設定
-
Edit-EC2VpcEndpointServiceConfiguration(視窗工具 PowerShell)
使用主控台接受或拒絕連線請求
在 https://console.aws.amazon.com/vpc/
開啟 Amazon VPC 主控台。 -
在導覽窗格中,選擇 Endpoints Services (端點服務)。
-
選取端點服務。
-
從 Endpoint connections (端點連線) 標籤中,選取端點連線。
-
若要接受連線請求,請選擇 Actions (動作)、Accept endpoint connection request (接受端點連線請求)。出現確認提示時,請輸入
accept
,然後選擇 Accept (接受)。 -
若要拒絕連線請求,請選擇 Actions (動作)、Reject endpoint connection request (拒絕端點連線請求)。出現確認提示時,請輸入
reject
,然後選擇 Reject (拒絕)。
若要使用命令列接受或拒絕連線請求
-
accept-vpc-endpoint-connections 或 reject-vpc-endpoint-connections (AWS CLI)
-
Approve-EC2EndpointConnection或 Deny-EC2EndpointConnection(視窗工具 PowerShell)
管理負載平衡器
您可以管理與端點服務相關聯的負載平衡器。如果端點已連接到您的端點服務,則無法取消關聯負載平衡器。
如果您為 Network Load Balancer 啟用其他可用區域,也可以為您的端點服務啟用可用區域。為端點服務啟用可用區域後,服務取用者可以將子網路從該可用區域新增至其介面 VPC 端點。
使用主控台管理端點服務的負載平衡器
在 https://console.aws.amazon.com/vpc/
開啟 Amazon VPC 主控台。 -
在導覽窗格中,選擇 Endpoints Services (端點服務)。
-
選取端點服務。
-
選擇 Actions (動作)、Associate or disassociate load balancers (關聯/取消關聯負載平衡器)。
-
視需要變更端點服務組態。例如:
-
選取負載平衡器的核取方塊,以將其與端點服務產生關聯。
-
清除負載平衡器的核取方塊,以取消其與端點服務的關聯。您必須保持至少選取一個負載平衡器。
-
如果您最近為負載平衡器啟用了另一個可用區域,它會出現在包含的可用區域下。如果您在下一個步驟中儲存變更,這會啟用新可用區域的端點服務。
-
-
選擇 Save changes (儲存變更)
使用命令列管理端點服務的負載平衡器
-
Edit-EC2VpcEndpointServiceConfiguration(視窗工具 PowerShell)
若要在最近為負載平衡器啟用的可用區域中啟用端點服務,只需使用端點服務的 ID 呼叫命令即可。
關聯私有 DNS 名稱
您可以將私有 DNS 名稱與您的端點服務建立關聯。在關聯私有 DNS 名稱之後,您必須在您的 DNS 伺服器上更新網域項目。在服務消費者使用私有 DNS 名稱之前,服務提供者必須確認他們擁有該網域。如需詳細資訊,請參閱 管理 DNS 名稱。
使用主控台修改端點服務私有 DNS 名稱
在 https://console.aws.amazon.com/vpc/
開啟 Amazon VPC 主控台。 -
在導覽窗格中,選擇 Endpoints Services (端點服務)。
-
選取端點服務。
-
選擇 Actions (動作)、Modify private DNS name (修改私有 DNS 名稱)。
-
選取 Associate a private DNS name with the serivce (將私有 DNS 名稱與服務建立關聯),並輸入私有 DNS 名稱。
網域名稱必須為小寫。
您可以在網域名稱中使用萬用字元 (例如,
*.myexampleservice.com
)。
-
選擇儲存變更。
-
當驗證狀態為 verified (已驗證) 時,私有 DNS 名稱即可供服務消費者使用。如果驗證狀態變更,新的連線請求會遭到拒絕,但現有的連線不受影響。
若要使用命令列修改端點服務私有 DNS 名稱
-
Edit-EC2VpcEndpointServiceConfiguration(視窗工具 PowerShell)
若要使用主控台來啟動網域驗證程序
在 https://console.aws.amazon.com/vpc/
開啟 Amazon VPC 主控台。 -
在導覽窗格中,選擇 Endpoints Services (端點服務)。
-
選取端點服務。
-
選擇 Actions (動作)、Verify domain ownership for private DNS name (驗證私有 DNS 名稱的網域所有權)。
-
出現確認提示時,請輸入
verify
,然後選擇 Verify (確認)。
若要使用命令列來啟動網域驗證程序
-
start-vpc-endpoint-service-private-dns-verification (AWS CLI)
-
Start-EC2VpcEndpointServicePrivateDnsVerification(視窗工具 PowerShell)
修改支援的 IP 地址類型
您可以變更端點服務支援的 IP 地址類型。
考量事項
若要讓端點服務能夠接受 IPv6 請求,其 Network Load Balancer 必須使用雙堆疊 IP 地址類型。目標不需要支援 IPv6 流量。如需詳細資訊,請參閱《Network Load Balancer 使用者指南》中的 IP 地址類型。
若要使用主控台修改支援的 IP 地址
在 https://console.aws.amazon.com/vpc/
開啟 Amazon VPC 主控台。 -
在導覽窗格中,選擇 Endpoints Services (端點服務)。
-
選取 VPC 端點服務。
-
選擇 Actions (動作)、Modify supported IP address types (修改支援的 IP 地址類型)。
-
針對 Supported IP address types (支援的 IP 地址類型),執行下列其中一個操作:
-
選取 IPv4 - 啟用端點服務以接受 IPv4 請求。
-
選取 IPv6 - 啟用端點服務以接受 IPv6 請求。
-
選取 IPv4 和 IPv6 - 啟用端點服務以接受 IPv4 和 IPv6 請求。
-
-
選擇儲存變更。
使用命令列修改支援的 IP 地址類型
-
Edit-EC2VpcEndpointServiceConfiguration(視窗工具 PowerShell)
管理標籤
您可標記您的資源,以幫助您根據組織需求來進行識別或分類。
使用主控台為您的端點服務管理標籤
在 https://console.aws.amazon.com/vpc/
開啟 Amazon VPC 主控台。 -
在導覽窗格中,選擇 Endpoints Services (端點服務)。
-
選取 VPC 端點服務。
-
選擇 Actions (動作)、Manage tags (管理標籤)。
-
針對每個要新增的標籤,請選擇 Add new tag (新增標籤),然後輸入標籤的鍵和值。
-
若要移除標籤,請選擇標籤金鑰和值右側的 Remove (移除)。
-
選擇儲存。
使用主控台為您的端點連線管理標籤
在 https://console.aws.amazon.com/vpc/
開啟 Amazon VPC 主控台。 -
在導覽窗格中,選擇 Endpoints Services (端點服務)。
-
選取 VPC 端點服務,然後選擇 Endpoint connections (端點連線) 索引標籤。
-
選取端點連線,然後選擇 Actions (動作)、Manage tags (管理標籤)。
-
針對每個要新增的標籤,請選擇 Add new tag (新增標籤),然後輸入標籤的鍵和值。
-
若要移除標籤,請選擇標籤金鑰和值右側的 Remove (移除)。
-
選擇儲存。
使用主控台為您的端點服務許可管理標籤
在 https://console.aws.amazon.com/vpc/
開啟 Amazon VPC 主控台。 -
在導覽窗格中,選擇 Endpoints Services (端點服務)。
-
選取 VPC 端點服務,然後選擇 Allow principals (允許主體) 索引標籤。
-
選取主體,然後選擇 Actions (動作)、Manage tags (管理標籤)。
-
針對每個要新增的標籤,請選擇 Add new tag (新增標籤),然後輸入標籤的鍵和值。
-
若要移除標籤,請選擇標籤金鑰和值右側的 Remove (移除)。
-
選擇儲存。
若要使用命令列新增和移除標籤
-
create-tags 和 delete-tags (AWS CLI)
-
New-EC2Tag和 Remove-EC2Tag(視窗工具 PowerShell)