AWS CloudHSM 和 VPC 终端节点 - AWS CloudHSM
AWS CloudHSM VPC 终端节点的注意事项为 AWS CloudHSM创建接口 VPC 端点为创建 VPC 终端节点策略 AWS CloudHSM

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

AWS CloudHSM 和 VPC 终端节点

您可以通过创建接口 VPC 终端节点在您 AWS CloudHSM 的 VPC 和之间建立私有连接。接口终端节点由一项技术提供支持 AWS PrivateLink,该技术使您无需互联网网关、NAT 设备、VPN 连接或 AWS Direct Connect 连接即可私密访问 AWS CloudHSM API。您的 VPC 中的实例不需要公有 IP 地址即可与 AWS CloudHSM API 通信。VPC 和 AWS CloudHSM 之间的流量不会脱离 Amazon 网络。

每个接口端点均由子网中的一个或多个弹性网络接口表示。

有关更多信息,请参阅 A mazon VPC 用户指南中的接口 VPC 终端节点 (AWS PrivateLink)

AWS CloudHSM VPC 终端节点的注意事项

在为设置接口 VPC 终端节点之前 AWS CloudHSM,请务必查看 Amazon VPC 用户指南中的接口终端节点属性和限制

  • AWS CloudHSM 支持从您的 VPC 调用其所有 API 操作。

为 AWS CloudHSM创建接口 VPC 端点

您可以使用 Amazon VPC 控制台或 AWS Command Line Interface (CLI) 为 AWS CloudHSM 服务创建 VPC 终端节点。有关更多信息,请参阅《Amazon VPC 用户指南》中的创建接口端点

要为创建 VPC 终端节点 AWS CloudHSM,请使用以下服务名称:

com.amazonaws.region.cloudhsmv2

例如,在美国西部(俄勒冈)区域 (us-west-2),服务名称为:

com.amazonaws.us-west-2.cloudhsmv2

为了更轻松地使用 VPC 终端节点,您可以为 VPC 终端节点启用私有 DNS 主机名。如果您选择启用私有 DNS 名称选项,则标准 DN AWS CloudHSM S 主机名 (https://cloudhsmv2.<region>.amazonaws.com) 将解析到您的 VPC 终端节点。

此选项可让您更轻松地使用 VPC 终端节点。默认情况下, AWS 软件开发工具包和 CLI 使用标准 AWS CloudHSM DNS 主机名,因此您无需在应用程序和命令中指定 VPC 终端节点 URL。

有关更多信息,请参阅《Amazon VPC 用户指南》中的通过接口端点访问服务

为创建 VPC 终端节点策略 AWS CloudHSM

您可以为 VPC 端点附加控制对 AWS CloudHSM的访问的端点策略。该策略指定以下信息:

  • 可执行操作的主体。

  • 可执行的操作。

  • 可对其执行操作的资源。

有关更多信息,请参阅《Amazon VPC 用户指南》中的使用 VPC 端点控制对服务的访问

示例:用于 AWS CloudHSM 操作的 VPC 终端节点策略

以下是的终端节点策略示例 AWS CloudHSM。当连接到终端节点时,此策略授予所有委托人对所有资源 AWS CloudHSM 执行所列操作的访问权限。的身份和访问管理 AWS CloudHSM有关其他 AWS CloudHSM 操作及其相应的 IAM 权限,请参阅。

{
   "Statement":[
      {
         "Principal":"*",
         "Effect":"Allow",
         "Action":[
            "cloudhsm:DescribeBackups",
            "cloudhsm:DescribeClusters",
            "cloudhsm:ListTags",
         ],
         "Resource":"*"
      }
   ]
}