本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
要在虚拟私有云(VPC)与 Amazon EFS API 之间建立专用连接,可以创建接口 VPC 端点。端点提供与 Amazon EFS API 的安全连接,无需互联网网关、NAT 实例或虚拟专用网络(VPN)连接。有关更多信息,请参阅 Amazon VPC 用户指南中的接口 VPC 终端节点。
接口 VPC 终端节点由 AWS PrivateLink该功能提供支持,该功能允许使用私有 IP 地址在 AWS 服务之间进行私有通信。要使用 AWS PrivateLink,请使用亚马逊 VPC 控制台、API 或 CLI 在您的 VPC 中为 Amazon EFS 创建接口 VPC 终端节点。这样做会使用为 Amazon EFS API 请求提供服务的私有 IP 地址在您的子网中创建一个弹性网络接口。您还可以 VPCs 使用 AWS VPN、 AWS Direct Connect或 VPC 对等从本地环境或其他环境访问 VPC 终端节点。要了解更多信息,请参阅 Amazon VPC 用户指南 AWS PrivateLink中的通过访问服务。
为 Amazon EFS 创建接口端点
要为 Amazon EFS 创建接口 VPC 端点,请执行以下操作之一:
-
com.amazonaws.– 为 Amazon EFS API 操作创建端点。region.elasticfilesystem -
com.amazonaws.– 为 Amazon EFS API 创建符合美国联邦信息处理标准(FIPS)140-2region.elasticfilesystem-fips的端点。
有关 Amazon EFS 端点的完整列表,请参阅《Amazon Web Services 一般参考》中的 Amazon Elastic File System。
有关如何创建接口端点的更多信息,请参阅《Amazon VPC 用户指南》中的创建接口端点。
为 Amazon EFS 创建 VPC 端点策略
要控制对 Amazon EFS API 的访问权限,您可以将 AWS Identity and Access Management (IAM) 策略附加到您的 VPC 终端节点。此策略指定以下内容:
-
可执行操作的主体。
-
可执行的操作。
-
可对其执行操作的资源。
有关更多信息,请参阅《Amazon VPC 用户指南》中的使用 VPC 端点控制对服务的访问权限。
以下示例显示了一个 VPC 终端节点策略,该策略拒绝所有人通过终端节点创建 EFS 文件系统的权限。示例策略还授予所有人执行所有其他操作的权限。
{
"Statement": [
{
"Action": "*",
"Effect": "Allow",
"Resource": "*",
"Principal": "*"
},
{
"Action": "elasticfilesystem:CreateFileSystem",
"Effect": "Deny",
"Resource": "*",
"Principal": "*"
}
]
}有关更多信息,请参阅《Amazon VPC 用户指南》中的使用 VPC 端点策略。
