# 接口 VPC 端点
如果您使用 Amazon Virtual Private Cloud(Amazon VPC)托管 AWS 资源,则可以在您的 VPC 和 AWS Identity and Access Management(IAM)或 AWS Security Token Service(AWS STS)之间建立私有连接。您可以使用此连接实现 IAM 或 AWS STS 与您的 VPC 中资源的通信而不用访问公共互联网。
Amazon VPC 是一项 AWS 服务,可用来启动在虚拟网络中定义的 AWS 资源。借助 VPC,您可以控制您的网络设置,如 IP 地址范围、子网、路由表和网络网关。要将 VPC 连接到 IAM 或 AWS STS,请为每个服务定义一个*接口 VPC 端点*。该端点提供了到 IAM 或 AWS STS 的可靠、可扩展的连接,无需互联网网关、网络地址转换 (NAT) 实例或 VPN 连接。有关更多信息,请参阅[《Amazon VPC 用户指南》](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Introduction.html)中的*什么是 Amazon VPC?*。
接口 VPC 端点由 AWS PrivateLink 提供支持,后者是一种 AWS 技术,可将弹性网络接口与私有 IP 地址结合使用来支持 AWS 服务之间的专有通信。有关更多信息,请参阅 [AWS 服务 的 AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html)。
以下信息面向 Amazon VPC 的用户。有关更多信息,请参阅*《Amazon VPC 用户指南》*中的 [Amazon VPC 入门](https://docs.aws.amazon.com/vpc/latest/userguide/GetStarted.html)。
**Topics**
+ [VPC 端点可用性](#reference_vpc_endpoint_availability)
+ [为 IAM 创建 VPC 端点](reference_iam_vpc_endpoint_create.md)
+ [为 AWS STS 创建 VPC 端点](reference_sts_vpc_endpoint_create.md)
## VPC 端点可用性
**重要**
由只能在 [IAM 控制面板](disaster-recovery-resiliency.md)所在的区域中为 IAM 创建接口 VPC 端点。如果您的 VPC 与 IAM 控制面板区域位于不同的区域,则必须使用 AWS Transit Gateway 以允许从另一个区域访问 IAM 接口 VPC 端点。有关更多信息,请参阅 [为 IAM 创建 VPC 端点](reference_iam_vpc_endpoint_create.md)。
IAM 当前在以下区域中支持 VPC 端点:
+ 美国东部(弗吉尼亚州北部)
+ 中国(北京)
+ AWS GovCloud(美国西部)
AWS STS 当前在以下区域中支持 VPC 端点:
+ 美国东部(弗吉尼亚州北部)
+ 美国东部(俄亥俄州)
+ 美国西部(加利福尼亚北部)
+ 美国西部(俄勒冈州)
+ 非洲(开普敦)
+ 亚太地区(香港)
+ 亚太地区(海得拉巴)
+ 亚太地区(雅加达)
+ 亚太地区(墨尔本)
+ 亚太地区(孟买)
+ 亚太地区(大阪)
+ 亚太地区(首尔)
+ 亚太地区(新加坡)
+ 亚太地区(悉尼)
+ 亚太地区(东京)
+ 加拿大(中部)
+ 加拿大西部(卡尔加里)
+ 中国(北京)
+ 中国(宁夏)
+ 欧洲地区(法兰克福)
+ 欧洲地区(爱尔兰)
+ 欧洲地区(伦敦)
+ 欧洲地区(米兰)
+ 欧洲地区(巴黎)
+ 欧洲(西班牙)
+ 欧洲地区(斯德哥尔摩)
+ 欧洲(苏黎世)
+ 以色列(特拉维夫)
+ 中东(巴林)
+ 中东(阿联酋)
+ 南美洲(圣保罗)
+ AWS GovCloud(美国东部)
+ AWS GovCloud(美国西部)
# 为 IAM 创建 VPC 端点
要开始将 IAM 与您的 VPC 一起使用,请为 IAM 创建接口 VPC 端点。有关更多信息,请参阅《Amazon VPC 用户指南》**中的[使用接口 VPC 端点访问 AWS 服务](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html)。
由只能在 [IAM 控制面板](disaster-recovery-resiliency.md)所在的区域中为 IAM 创建接口 VPC 端点。在商业 AWS 区域 中,IAM 控制面板位于美国东部(弗吉尼亚州北部)区域(us-east-1)。适用于 IAM 的 AWS PrivateLink 接口 VPC 端点服务名称为 `com.amazonaws.iam`。有关支持 IAM 的 VPC 端点的 AWS 区域 列表,请参阅 [VPC 端点可用性](reference_interface_vpc_endpoints.md#reference_vpc_endpoint_availability)。
如果您的 VPC 与 IAM 控制面板区域位于不同的区域,则必须使用 AWS Transit Gateway 以允许从另一个区域访问 IAM 接口 VPC 端点。
**使用 AWS Transit Gateway 从其他区域的 VPC 访问 IAM 接口 VPC 端点**
1. 创建中转网关,或者使用现有的中转网关互连您的虚拟私有云(VPC)。每个区域都需要中转网关。有关更多信息,请参阅《AWS Transit Gateway 指南》**中的[创建中转网关](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-transit-gateways.html#create-tgw)。
1. 创建中转网关 VPC 连接以将每个 VPC 连接到中转网关。有关更多信息,请参阅《AWS Transit Gateway 指南》**中的[创建中转网关连接](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-vpc-attachments.html#create-vpc-attachment)。
1. 创建中转网关 VPC 对等连接以在对等 VPC 之间路由流量。有关更多信息,请参阅《AWS Transit Gateway 指南》**中的[创建对等连接](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-peering.html#tgw-peering-create)。
**注意**
VPC 对等连接也可以在对等 VPC 之间路由流量,但是在有大量 VPC 时这种方法不能很好地扩展。我们建议不要使用 VPC 对等连接,而是使用 AWS Transit Gateway 对等连接,通过可扩展的中央枢纽改进 VPC 和本地网络管理。有关 VPC 对等连接的更多信息,请参阅《*Amazon VPC 对等指南*》中的[使用 VPC 对等连接](https://docs.aws.amazon.com/vpc/latest/peering/working-with-vpc-peering.html)。
# 为 AWS STS 创建 VPC 端点
要开始将您的 AWS STS 与 VPC 一起使用,请为 AWS STS 创建接口 VPC 端点。有关更多信息,请参阅《Amazon VPC 用户指南》**中的[使用接口 VPC 端点访问 AWS 服务](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html)。
在创建 VPC 端点后,您必须使用匹配的区域端点发送 AWS STS 请求。AWS STS 建议您同时使用 `setRegion` 和 `setEndpoint` 方法以对区域端点进行调用。您可以仅将 `setRegion` 方法用于手动启用的区域,例如,亚太区域(香港)。在这种情况下,调用将定向到 STS 区域端点。要了解如何手动启用区域,请参阅《AWS 一般参考》中的 [管理 AWS 区域](https://docs.aws.amazon.com/general/latest/gr/rande-manage.html)**。如果仅将 `setRegion` 方法用于默认启用的区域,调用将定向到全球端点 `[https://sts.amazonaws.com](https://sts.amazonaws.com)`。
在您使用区域端点时,AWS STS 使用公有端点或私有接口 VPC 端点(二者中正在使用的那个)调用其他 AWS 服务。例如,假设您已为 AWS STS 创建了接口 VPC 端点,并且已经从位于 VPC 中的资源的 AWS STS 请求了临时凭证。在这种情况下,这些凭证默认开始流经接口 VPC 端点。有关使用 AWS STS 发出区域请求的更多信息,请参阅 [管理 AWS 区域中的 AWS STS](id_credentials_temp_enable-regions.md)。