AWS IoT TwinMaker VPC 终端节点的注意事项为 AWS IoT TwinMaker创建接口 VPC 端点 AWS IoT TwinMaker 通过接口 VPC 终端节点进行访问为创建 VPC 终端节点策略 AWS IoT TwinMaker

AWS IoT TwinMaker 和接口 VPC 终端节点 (AWS PrivateLink)

您可通过创建 VPC 接口端点在虚拟私有云 (VPC) 和 AWS IoT TwinMaker 之间创建私有连接。接口端点由其提供支持，您无需互联网网关AWS PrivateLink、网络地址转换 (NAT) 设备、VPN 连接或 Di AWS rect Connect 连接即可使用它私密访问 AWS IoT TwinMaker API。您的 VPC 中的实例不需要公有 IP 地址即可与 AWS IoT TwinMaker API 通信。您的 VPC 和 VPC 之间的流量 AWS IoT TwinMaker 不会离开 Amazon 网络。

每个接口端点均由子网中的一个或多个弹性网络接口表示。

有关更多信息，请参阅 Amazon VPC 用户指南中的接口 VPC 终端节点 (AWS PrivateLink)。

AWS IoT TwinMaker VPC 终端节点的注意事项

在为设置接口 VPC 终端节点之前 AWS IoT TwinMaker，请查看 Amazon VPC 用户指南中的接口终端节点属性和限制。

AWS IoT TwinMaker 支持从您的 VPC 调用其所有 API 操作。

对于数据平面 API 操作，请使用以下端点：
```
data.iottwinmaker.region.amazonaws.com
```
数据平面 API 操作包括以下内容：
针对控制平面 API 操作，请使用以下端点：
```
api.iottwinmaker.region.amazonaws.com
```
支持的控制平面 API 操作包含以下内容：

为 AWS IoT TwinMaker创建接口 VPC 端点

您可以使用 Amazon VPC 控制台或 AWS Command Line Interface (AWS CLI) 为 AWS IoT TwinMaker 服务创建 VPC 终端节点。有关更多信息，请参阅《Amazon VPC 用户指南》中的创建接口端点。

使用以下服务名称为 AWS IoT TwinMaker 其创建一个 VPC 终端节点。

对于数据平面 API 操作，请使用以下服务名称：
```
com.amazonaws.region.iottwinmaker.data
```
对于控制平面 API 操作，请使用以下服务名称：
```
com.amazonaws.region.iottwinmaker.api
```

例如，如果您为终端节点启用私有 DNS，则可以使用该终端节点的默认 DNS 名称向发 AWS IoT TwinMaker 出 API 请求iottwinmaker.us-east-1.amazonaws.com。

有关更多信息，请参阅《Amazon VPC 用户指南》中的通过接口端点访问服务。

AWS IoT TwinMaker PrivateLink 在以下区域受支持：

us-east-1

以下可用区支持该 ControlPlane 服务：use1-az1use1-az2、和use1-az6。

以下可用区支持该 DataPlane 服务：use1-az1use1-az2、和use1-az4。
us-west-2

以下可用区支持 ControlPlane 和 DataPlane 服务：usw2-az1usw2-az2、和usw2-az3。
eu-west-1
eu-central-1
ap-southeast-1
ap-southeast-2

有关可用区的更多信息，请参阅AWS 资源的可用区 ID-Res AWS ource Access Manager。

AWS IoT TwinMaker 通过接口 VPC 终端节点进行访问

创建接口终端节点时， AWS IoT TwinMaker 会生成可用于与之通信的终端节点特定的 DNS 主机名。 AWS IoT TwinMaker默认情况下启用私有 DNS。有关更多信息，请参阅 Amazon VPC 用户指南中的使用私有托管区域。

如果为端点启用私有 DNS，则可以通过以下 VPC 端点向 AWS IoT TwinMaker 发出 API 请求。

对于数据平面 API 操作，请使用以下端点。将 区域 更换为您的 AWS 区域。
```
data.iottwinmaker.region.amazonaws.com
```
对于控制平面 API 操作，请使用以下端点。将 区域 更换为您的 AWS 区域。
```
api.iottwinmaker.region.amazonaws.com
```

如果您为端点禁用私有 DNS，则必须执行以下操作，才能通过端点访问 AWS IoT TwinMaker ：

在 API 请求中指定 VPC 端点 URL。
- 对于数据平面 API 操作，请使用以下端点 URL。将 vpc-endpoint-id 和 区域 更换为您的 VPC 端点 ID 和区域。
```
vpc-endpoint-id.data.iottwinmaker.region.vpce.amazonaws.com
```
- 对于控制平面 API 操作，请使用以下端点 URL。将 vpc-endpoint-id 和 区域 更换为您的 VPC 端点 ID 和区域。
```
vpc-endpoint-id.api.iottwinmaker.region.vpce.amazonaws.com
```
禁用主机前缀注入功能。当您调用每个 API 操作时， AWS CLI 和 AWS SDK 会在服务端点前面加上各种主机前缀。这会导致 AWS CLI 和 AWS 软件开发工具包在您指定 VPC 终端节点 AWS IoT TwinMaker 时生成无效的 URL。

重要
您无法在 AWS CLI 或 AWS Tools for PowerShell中禁用主机前缀注入。这意味着，如果您禁用了私有 DNS，您将无法使用 AWS CLI 或 AWS Tools for PowerShell AWS IoT TwinMaker 通过 VPC 终端节点进行访问。如果您想使用这些工具 AWS IoT TwinMaker 通过终端节点进行访问，请启用私有 DNS。

有关如何禁用 AWS SDK 中的主机前缀注入的更多信息，请参阅以下文档中关于 SDK 的部分：

有关更多信息，请参阅《Amazon VPC 用户指南》中的通过接口端点访问服务。

为创建 VPC 终端节点策略 AWS IoT TwinMaker

您可以为 VPC 端点附加控制对 AWS IoT TwinMaker的访问的端点策略。该策略指定以下信息：

可执行操作的主体。
可执行的操作。
可对其执行操作的资源。

有关更多信息，请参阅《Amazon VPC 用户指南》中的使用 VPC 端点控制对服务的访问。

示例：用于 AWS IoT TwinMaker 操作的 VPC 终端节点策略

以下是的终端节点策略示例 AWS IoT TwinMaker。当关联到终端节点时，此策略授予 AWS 账户中的 IAM 用户iottwinmakeradmin123456789012对所有资源进行列出的 AWS IoT TwinMaker 操作的访问权限。


{
   "Statement":[ 
      {
        "Principal": {
            "AWS": "arn:aws:iam::123456789012:user/role"
                },
         "Resource": "*",
         "Effect":"Allow",
         "Action":[
            "iottwinmaker:CreateEntity",
            "iottwinmaker:GetScene",
            "iottwinmaker:ListEntities"
         ]
        }
    ]
}

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

文档惯例

AWS 托管策略

合规性验证