本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 使用 Cloud Directory 接口 VPC 终端节点
<a name="getting_started_using_vpc_endpoints"></a>

如果使用 Amazon Virtual Private Cloud (Amazon VPC) 托管 AWS 资源，则可以在 VPC 和 Cloud Directory 之间建立私有连接。您可以使用此连接实现 Cloud Directory 与 VPC 上的资源的通信而不用访问公共 Internet。

Amazon VPC 是一项 AWS 服务，可用来启动在虚拟网络中定义的 AWS 资源。借助 VPC，您可以控制您的网络设置，如 IP 地址范围、子网、路由表和网络网关。要将 VPC 连接到 Cloud Directory，请定义一个*接口 VPC 终端节点*（用于 Cloud Directory）。该终端节点提供了到 Cloud Directory 的可靠、可扩展的连接，无需 Internet 网关、网络地址转换 (NAT) 实例或 VPN 连接。有关更多信息，请参阅 。[什么是 Amazon VPC？](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Introduction.html)中的*Amazon VPC 用户指南*。

接口 VPC 终端节点由 AWS PrivateLink 提供支持，后者是一种 AWS 技术，可将 elastic network interface 与私有 IP 地址结合使用来支持 AWS 服务之间的私有通信。有关更多信息，请参阅 。[适用于 AWS 服务的 AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Introduction.html#what-is-privatelink)。

以下步骤适用于 Amazon VPC 的用户。有关更多信息，请参阅 。[Amazon VPC 入门](https://docs.aws.amazon.com/vpc/latest/userguide/GetStarted.html)中的*Amazon VPC 用户指南*。

## Availability
<a name="vpc_endpoints_availability"></a>

Cloud Directory 当前在以下区域中支持 VPC 终端节点：
+ US East (Ohio)
+ US East (N. Virginia)
+ US West (Oregon)
+ Asia Pacific (Singapore)
+ Asia Pacific (Sydney)
+ Canada (Central)
+ Europe (Frankfurt)
+ Europe (Ireland)
+ Europe (London)
+ AWS GovCloud（美国西部）

## 为 Cloud Directory 创建 VPC
<a name="vpc_endpoints_create"></a>

要开始将 Cloud Directory 与您的 VPC 一起使用，请使用 Amazon VPC 控制台为 Cloud Directory 创建接口 VPC 终端节点。有关更多信息，请参阅[创建接口终端节点](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#create-interface-endpoint)。
+ 适用于**服务类别**中，选择**AWS 服务**。
+ 对于 **Service Name (服务名称)**，选择 **`com.amazonaws.region.clouddirectory`**。这将为 Cloud Directory 操作创建 VPC 终端节点。

有关一般信息，请参阅[Amazon VPC 是什么？](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html)中的*Amazon VPC 用户指南*。

### 控制对 Cloud Directory VPC 终端节点的访问
<a name="vpc_endpoints_control_access"></a>

VPC 终端节点策略是一种 IAM 资源策略，您在创建或修改终端节点时可将它附加到终端节点。如果在创建终端节点时未附加策略，我们将为您附加默认策略以允许对服务进行完全访问。终端节点策略不会覆盖或替换 IAM 用户策略或服务特定的策略。这是一个单独的策略，用于控制从终端节点中对指定服务进行的访问。

终端节点策略必须采用 JSON 格式编写。有关更多信息，请参阅 。[使用 VPC 终端节点控制对服务的访问](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html)中的*Amazon VPC 用户指南*。

下面是 Cloud Directory 的终端节点策略示例。该策略允许通过 VPC 连接到 Cloud Directory 的用户列出目录，并禁止他们执行其他 Cloud Directory 操作。

```
{
  "Statement": [
    {
      "Sid": "ReadOnly",
      "Principal": "*",
      "Action": [
        "clouddirectory:ListDirectories"
      ],
      "Effect": "Allow",
      "Resource": "*"
    }
  ]
}
```

**修改 Cloud Directory 的 VPC 终端节点策略**

1. 通过以下网址打开 Amazon VPC 控制台：[https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)。

1. 在导航窗格中，选择**终端节点**。

1. 如果还没有为 Cloud Directory 创建终端节点，请选择**创建终端节点**。然后选择**`com.amazonaws.region.clouddirectory`**，然后选择**创建终端节点**。

1. 选择**`com.amazonaws.region.clouddirectory`**端点，然后选择**策略**选项卡。

1. 选择**编辑策略**并对策略进行更改。

有关更多信息，请参阅 。[使用 VPC 终端节点控制对服务的访问](https://docs.aws.amazon.com/vpc/latest/userguide/GetStarted.html)中的*Amazon VPC 用户指南*。