本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# AWS Data Exchange 和接口 VPC 终端节点 (AWS PrivateLink)
<a name="vpc-interface-endpoints"></a>

您可通过创建 *VPC 接口端点*在虚拟私有云 (VPC) 和 AWS Data Exchange 之间创建私有连接。接口端点由一项技术提供支持 [AWS PrivateLink](https://aws.amazon.com/privatelink)，该技术使您无需互联网网关、NAT 设备、VPN 连接或 Direct Connect 连接即可私密访问 AWS Data Exchange API 操作。您的 VPC 中的实例不需要公有 IP 地址即可与 AWS Data Exchange API 操作通信。您的 VPC 和 VPC 之间的流量 AWS Data Exchange 不会离开亚马逊网络。

每个接口端点均由子网中的一个或多个[弹性网络接口](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html)表示。

**注意**  
VPC 支持`SendAPIAsset`除之外的所有 AWS Data Exchange 操作。

有关更多信息，请参阅《Amazon VPC 用户指南》**中的[接口 VPC 端点 (AWS PrivateLink)](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html)。

## AWS Data Exchange VPC 终端节点的注意事项
<a name="vpc-endpoint-considerations"></a>

在为设置接口 VPC 终端节点之前 AWS Data Exchange，请务必查看 *Amazon VPC 用户指南*中的[接口终端节点属性和限制](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#vpce-interface-limitations)。

AWS Data Exchange 支持从您的 VPC 调用其所有 API 操作。

## 为创建接口 VPC 终端节点 AWS Data Exchange
<a name="vpc-endpoint-create"></a>

您可以使用 Amazon VPC 控制台或 AWS Command Line Interface (AWS CLI) 为 AWS Data Exchange 服务创建 VPC 终端节点。有关更多信息，请参阅《Amazon VPC User Guide》**中的 [Creating an interface endpoint](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#create-interface-endpoint)。

 AWS Data Exchange 使用以下服务名称创建 VPC 终端节点：
+ `com.amazonaws.region.dataexchange`

例如，如果您为终端节点启用私有 DNS，则可以使用终端节点的默认 DNS 名称向 AWS Data Exchange 发出 API 请求`com.amazonaws.us-east-1.dataexchange`。 AWS 区域

有关更多信息，请参阅《Amazon VPC 用户指南》**中的[通过接口端点访问服务](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#access-service-though-endpoint)。

## 为创建 VPC 终端节点策略 AWS Data Exchange
<a name="vpc-endpoint-policy"></a>

您可以为 VPC 端点附加控制对 AWS Data Exchange的访问的端点策略。该策略指定以下信息：
+ 可执行操作的主体
+ 可执行的操作
+ 可对其执行操作的资源

有关更多信息，请参阅《Amazon VPC 用户指南》**中的[使用 VPC 端点控制对服务的访问权限](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html)。

**示例：用于 AWS Data Exchange 操作的 VPC 终端节点策略**  
以下是的终端节点策略示例 AWS Data Exchange。当连接到终端节点时，此策略授予所有委托人对所有资源 AWS Data Exchange 执行所列操作的访问权限。

此示例 VPC 终端节点策略仅允许 AWS 账户 `123456789012`来自的用户具有`bts`完全访问权限`vpc-12345678`。允许用户 `readUser` 读取资源，但所有其他 IAM 主体均被拒绝访问该端点。

------
#### [ JSON ]

****  

```
{
    "Id": "example-policy",
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "Allow administrative actions from vpc-12345678",
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                    "arn:aws:iam::123456789012:user/bts"
                ]
            },
            "Action": "*",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:sourceVpc": "vpc-12345678"
                }
            }
        },
        {
            "Sid": "Allow ReadOnly actions",
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                    "arn:aws:iam::123456789012:user/readUser"
                ]
            },
            "Action": [
                "dataexchange:list*",
                "dataexchange:get*"
            ],
            "Resource": "*"
        }
    ]
}
```

------