本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 云控制 API 和接口 VPC 终端节点 (AWS PrivateLink)
<a name="vpc-interface-endpoints"></a>

您可以使用 AWS PrivateLink 在您的 VPC 和之间创建私有连接 AWS 云端控制 API。您可以像在 VPC 中一样访问云控制 API，无需使用互联网网关、NAT 设备、VPN 连接或 Direct Connect 连接。您的 VPC 中的实例不需要公有 IP 地址即可访问云控制 API。

您可以通过创建由 AWS PrivateLink提供支持的*接口端点*来建立此私有连接。我们将在您为接口端点启用的每个子网中创建一个端点网络接口。这些是请求者管理的网络接口，用作发往 Cloud Control API 的流量的入口点。

Cloud Control API 支持通过接口端点调用其所有 API 操作。

## Cloud Control API VPC 端点的注意事项
<a name="vpc-endpoint-considerations"></a>

在为 Cloud Control API 设置接口 VPC 终端节点之前，请先确保满足*AWS PrivateLink 指南*中[使用接口 VPC 终端节点访问 AWS 服务](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html)主题中的先决条件。

## 为 Cloud Control API 创建接口 VPC 端点
<a name="vpc-endpoint-create"></a>

您可以使用亚马逊 VPC 控制台或 AWS Command Line Interface (AWS CLI) 为云控制 API 创建 VPC 终端节点。有关更多信息，请参阅 *AWS PrivateLink 指南*中的[创建 VPC 端点](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#create-interface-endpoint-aws)。

使用以下服务名称为 Cloud Control API 创建接口端点：
+ com.amazonaws。 *region*.cloudcontro

如果为端点启用私有 DNS，则可以使用其默认 DNS 名称作为区域，向 Cloud Control API 发送 API 请求，例如 `cloudcontrolapi.us-east-1.amazonaws.com`。

有关更多信息，请参阅《Amazon VPC 用户指南》**中的[使用接口 VPC 端点访问 AWS 服务](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#access-service-though-endpoint)。

## 为 Cloud Control API 创建 VPC 端点策略
<a name="vpc-endpoint-policy"></a>

您可以为 VPC 端点附加控制对 Cloud Control API 的访问的端点策略。该策略指定以下信息：
+ 可执行操作的主体。
+ 可执行的操作。
+ 可对其执行操作的资源。

有关更多信息，请参阅 *AWS PrivateLink 指南*中的[使用端点策略控制对 VPC 端点的访问权限](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html)。

**重要**  
VPCE 端点策略详细信息不会传递给 Cloud Control API 调用的任何下游服务来进行评估。因此，未强制执行指定属于下游服务的操作或资源的策略。  
例如，假设您在 VPC 实例中使用子网中无法访问 Internet 的 Cloud Control API VPC 端点创建了一个 Amazon EC2 实例。接下来，您将以下 VPC 端点策略附加到 VPCE：  

```
{
  "Statement": [
    {
      "Action": [
        "cloudformation:*",
        "ec2:*",
        "lambda:*"
      ]
      "Effect": "Allow",
      "Principal": "*",
      "Resource": "*"
    }
  ]
}
```
如果具有管理员访问权限的用户随后发送了一个访问该实例中的 Amazon S3 存储桶的请求，那么即使 VPCE 策略中未授予 Amazon S3 访问权限，也不会返回服务错误。

**示例：Cloud Control API 操作的 VPC 端点策略**  
下面是用于 Cloud Control API 的端点策略示例。当附加到端点时，此策略会向所有资源上的所有主体授予对列出的 Cloud Control API 操作的访问权限。以下示例拒绝所有用户通过 VPC 端点创建资源的权限，并允许对 Cloud Control API 服务上的所有其他操作进行完全访问。

```
{
  "Statement": [
    {
      "Action": "cloudformation:*",
      "Effect": "Allow",
      "Principal": "*",
      "Resource": "*"
    },
    {
      "Action": "cloudformation:CreateResource",
      "Effect": "Deny",
      "Principal": "*",
      "Resource": "*"
    }
  ]
}
```

## 另请参阅
<a name="see-also"></a>
+ [AWS 与之集成的服务 AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/aws-services-privatelink-support.html)