AWS 服務 使用介面 VPC 端點存取 - Amazon Virtual Private Cloud
必要條件建立 VPC 端點共用子網路

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AWS 服務 使用介面 VPC 端點存取

您可以創建一個接口 VPC 端點來連接到提供支持的服務 AWS PrivateLink,包括許多 AWS 服務。如需概觀,請參閱 AWS PrivateLink 概念AWS 服務 通過訪問 AWS PrivateLink

對於您從 VPC 中指定的每個子網,我們會在子網中建立端點網路介面,並從子網地址範圍中為其指派私有 IP 地址。端點網路界面是請求者管理的網路介面;您可以在 AWS 帳戶中檢視它,但不能自己管理它。

我們會向您收取每小時用量率及資料處理費。如需詳細資訊,請參閱界面端點定價

必要條件

  • 部署將存取 VPC AWS 服務 中的資源。

  • 若要使用私有 DNS,您必須啟用 VPC 的 DNS 主機名稱和 DNS 解析。如需更多資訊,請參閱《Amazon VPC 使用者指南》中的檢視和更新 DNS 屬性

  • 若要為介面端點啟用 IPv6, AWS 服務 必須支援透過 IPv6 存取。如需詳細資訊,請參閱 IP 地址類型

  • 建立安全群組,讓 VPC 中的資源能與 VPC 端點的端點網路界面通訊。為了確保這類工具 AWS CLI 可以透過 HTTPS 從 VPC 中的資源發出要求 AWS 服務,安全性群組必須允許輸入 HTTPS 流量。

  • 如果您的資源位於具有網路 ACL 的子網中,請確認網路 ACL 允許端點網路介面和 VPC 中資源之間的流量。

  • 您的 AWS PrivateLink 資源有配額。如需詳細資訊,請參閱 AWS PrivateLink 配額

建立 VPC 端點

使用下列程序建立連線至 AWS 服務的介面 VPC 端點。

若要建立介面端點 AWS 服務

  1. https://console.aws.amazon.com/vpc/ 開啟 Amazon VPC 主控台。

  2. 在導覽窗格中選擇 Endpoints (端點)

  3. 選擇 建立端點

  4. 對於 Service category (服務類別),選擇 AWS 服務

  5. 對於 Service name (服務名稱),請選取服務。如需詳細資訊,請參閱 AWS 服務 與整合 AWS PrivateLink

  6. 對於 VPC,請選取您要從中存取 AWS 服務的 VPC。

  7. 如果您在步驟 5 中選取 Amazon S3 的服務名稱,並且想要設定私有 DNS 支援,請選取其他設定啟用 DNS 名稱。進行此選取後,系統會自動選取僅針對傳入端點啟用私有 DNS。您只能為 Amazon S3 的介面端點設定具有傳入 Resolver 端點的私有 DNS。如果您沒有 Amazon S3 的閘道端點,且選取僅針對傳入端點啟用私有 DNS,則您在嘗試執行此程序的最後一個步驟時會收到錯誤訊息。

    如果您在步驟 5 中選取 Amazon S3 以外的任何服務的服務名稱,則系統會預設選取其他設定啟用 DNS 名稱。建議您保留預設。

  8. 對於 Subnets (子網),為每個可用區域選取一個子網,您將從中存取 AWS 服務。您無法在相同的可用區域內選取多個子網路。我們會在您選取的每個子網路中建立端點網路界面。依預設,我們會從子網路 IP 地址範圍選取 IP 地址,並將它們指派給端點網路介面。若要選擇端點網路介面的 IP 地址,請選取指定 IP 地址並從子網路地址範圍輸入 IPv4 地址。如果端點服務支援 IPv6,您也可以從子網路地址範圍輸入 IPv6 地址。

  9. 針對 IP address type (IP 地址類型),從下列選項中選擇:

    • IPv4 - 將 IPv4 地址指派給您的端點網路介面。只有當所有選取的子網路都具有 IPv4 地址範圍,且此服務接受 IPv4 請求時,才支援此選項。

    • IPv6 - 將 IPv6 地址指派給您的端點網路介面。只有當所有選取的子網路都是僅限 IPv6 子網路,且此服務接受 IPv6 請求時,才支援此選項。

    • Dualstack - 將 IPv4 和 IPv6 地址指派給您的端點網路介面。只有當所有選取的子網路都具有 IPv4 和 IPv6 地址範圍,且此服務接受 IPv4 和 IPv6 請求時,才支援此選項。

  10. 對於 安全群組,選取要與 VPC 端點的端點網路界面建立關聯的安全群組。根據預設,會與 VPC 的預設安全群組相關聯。

  11. 對於 Policy (政策),選取 Full access (完整存取),以允許 VPC 端點上所有資源的所有主體進行所有操作。否則,選取 Custom (自訂) 以連接 VPC 端點政策,該政策控制主體在 VPC 端點上對資源執行動作時所具有的許可。只有服務支援 VPC 端點政策時,此選項才可用。如需詳細資訊,請參閱 端點政策

  12. (選用) 若要新增標籤,請選擇 Add new tag (新增標籤),然後輸入標籤的鍵和值。

  13. 選擇 建立端點

使用命令列建立介面端點

共用子網路

無法在與您共用的子網路中建立、描述、修改或刪除 VPC 端點。不過,可以在與您共用的子網路中使用 VPC 端點。