配置端点服务 - Amazon Virtual Private Cloud
管理权限接受或拒绝连接请求管理负载均衡器关联私有 DNS 名称修改支持的 IP 地址类型管理标签

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

配置端点服务

创建端点服务后,您可以更新其配置。

管理权限

权限和接受设置的组合可帮助您控制哪些服务使用者(AWS 委托人)可以访问您的终端节点服务。例如,可以为您信任的特定主体授予权限,并自动接受所有连接请求;您还可以为范围更广的主体组授予权限,并手动接受您信任的特定连接请求。

默认情况下,您的端点服务对服务使用者不可用。您必须添加权限,允许特定 AWS 委托人创建接口 VPC 终端节点以连接到您的终端节点服务。要为 AWS 委托人添加权限,您需要其亚马逊资源名称 (ARN)。以下列表包括支持的 AWS 主体的 ARN 示例。

校长的 ARN AWS
AWS 账户 (包括账户中的所有委托人)

arn:aws:iam::account_id:root

角色

arn:aws:iam::account_id:role/role_name

用户

arn:aws:iam::account_id:user/user_name

所有校长合而为一 AWS 账户

*

注意事项

  • 如果您授予所有人访问端点服务的权限,并将端点服务配置为接受所有请求,则即使您的负载均衡器没有公有 IP 地址,它也将是公有的。

  • 如果您移除权限,则不会影响之前接受的终端节点和服务之间的现有连接。

使用控制台管理端点服务的权限

  1. 通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/

  2. 在导航窗格中,选择 Endpoint services(端点服务)。

  3. 选择端点服务,然后选择 Allow principals(允许主体)选项卡。

  4. 要添加权限,请选择 Allow principals(允许主体)。对于 Principals to add(要添加的主体),输入主体的 ARN。要添加另一个委托人,请选择 Add principal(添加委托人)。添加主体后,请选择 Allow principals(允许主体)。

  5. 要删除权限,请选择该主体,然后依次选择 Actions(操作)、Delete(删除)。提示进行确认时,输入 delete,然后选择 Delete(删除)。

使用命令行为端点服务添加权限

接受或拒绝连接请求

权限和接受设置的组合可帮助您控制哪些服务使用者(AWS 委托人)可以访问您的终端节点服务。例如,可以为您信任的特定主体授予权限,并自动接受所有连接请求;您还可以为范围更广的主体组授予权限,并手动接受您信任的特定连接请求。

您可以将端点服务配置为自动接受连接请求。否则,您必须手动接受或拒绝请求。如果您不接受连接请求,服务使用者将无法访问端点服务。

当连接请求被接受或拒绝时,您会收到通知。有关更多信息,请参阅 接收端点服务事件的提醒

注意事项

  • 如果您授予所有人访问端点服务的权限,并将端点服务配置为接受所有请求,则即使您的负载均衡器没有公有 IP 地址,它也将是公有的。

  • 如果您拒绝已被接受的请求,则不会影响终端节点与服务之间的连接。

使用控制台修改接受设置

  1. 通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/

  2. 在导航窗格中,选择 Endpoint services(端点服务)。

  3. 选择端点服务。

  4. 选择 ActionsModify endpoint acceptance setting

  5. 选择或清除 Acceptance required(需要接受)。

  6. 选择 Save changes(保存更改)

使用命令行修改接受设置
使用控制台接受或拒绝连接请求

  1. 通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/

  2. 在导航窗格中,选择 Endpoint services(端点服务)。

  3. 选择端点服务。

  4. Endpoint connections(端点连接)选项卡中,选择端点连接。

  5. 要接受连接请求,依次选择 Actions(操作)、Accept endpoint connection request(接受端点连接请求)。提示进行确认时,输入 accept,然后选择 Accept(接受)。

  6. 要拒绝连接请求,请选择 Actions(操作)Reject endpoint connection request(拒绝端点连接请求)。提示进行确认时,输入 reject,然后选择 Reject(拒绝)。

使用命令行接受或拒绝连接请求

管理负载均衡器

您可以管理与您的终端节点服务关联的负载均衡器。如果已有端点连接到端点服务,则您无法取消关联负载均衡器。

如果您为 Network Load Balancer 启用了另一个可用区,则也可以为终端节点服务启用该可用区。为终端节点服务启用可用区后,服务使用者可以将该可用区的子网添加到其接口 VPC 终端节点。

使用控制台管理终端节点服务的负载均衡器

  1. 通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/

  2. 在导航窗格中,选择 Endpoint services(端点服务)。

  3. 选择端点服务。

  4. 依次选择 Actions(操作)、Associate or disassociate load balancers(关联或取消关联负载均衡器)。

  5. 根据需要更改终端节点服务配置。例如:

    • 选中负载均衡器的复选框以将其与终端节点服务关联。

    • 清除负载均衡器复选框以解除其与终端节点服务的关联。您必须至少选择一个负载均衡器。

    • 如果您最近为负载均衡器启用了另一个可用区,则该可用区将显示在 “已包含的可用区” 下。如果您在下一步中保存更改,则会为新的可用区启用终端节点服务。

  6. 选择 Save changes(保存更改)

使用命令行管理终端节点服务的负载均衡器

要在最近为负载均衡器启用的可用区中启用终端节点服务,只需使用终端节点服务的 ID 调用命令即可。

关联私有 DNS 名称

您可以将私有 DNS 名称与端点服务相关联。关联私有 DNS 名称后,您必须更新 DNS 服务器上域的条目。服务提供商必须先验证服务使用者拥有该域,然后服务使用者才能使用私有 DNS 名称。有关更多信息,请参阅 管理 DNS 名称

使用控制台修改端点服务私有 DNS 名称

  1. 通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/

  2. 在导航窗格中,选择 Endpoint services(端点服务)。

  3. 选择端点服务。

  4. 依次选择 Actions(操作)、Modify private DNS name(修改私有 DNS 名称)。

  5. 选择 Associate a private DNS name with the service(将私有 DNS 名称与服务关联),然后输入私有 DNS 名称。

    • 域名必须使用小写。

    • 您可以在域名中使用通配符(例如 *.myexampleservice.com)。

  6. 选择保存更改

  7. 如果验证状态为 verified(已验证),则私有 DNS 名称可供服务使用者使用。如果验证状态发生变化,新的连接请求将被拒绝,但现有连接不会受到影响。

使用命令行修改端点服务私有 DNS 名称
使用控制台启动域验证过程

  1. 通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/

  2. 在导航窗格中,选择 Endpoint services(端点服务)。

  3. 选择端点服务。

  4. 依次选择 Actions(操作)、Verify domain ownership for private DNS name(验证私有 DNS 名称的域所有权)。

  5. 提示进行确认时,输入 verify,然后选择 Verify(验证)

使用命令行启动域验证过程

修改支持的 IP 地址类型

您可以更改端点服务支持的 IP 地址类型。

考虑因素

要使您的端点服务能够接受 IPv6 请求,其网络负载均衡器必须使用双堆栈 IP 地址类型。目标无需支持 IPv6 流量。有关更多信息,请参阅《网络负载均衡器用户指南》中的 IP 地址类型

使用控制台修改支持的 IP 地址类型

  1. 通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/

  2. 在导航窗格中,选择 Endpoint services(端点服务)。

  3. 选择 VPC 端点服务。

  4. 依次选择 Actions(操作)、Modify supported IP address types(修改支持的 IP 地址类型)。

  5. 对于 Supported IP address types(支持的 IP 地址类型),执行以下任一操作:

    • 选择 IPv4 – 启用端点服务以接受 IPv4 请求。

    • 选择 IPv6 – 启用端点服务以接受 IPv6 请求。

    • 选择 IPv4IPv6 – 启用端点服务以接受 IPv4 和 IPv6 请求。

  6. 选择保存更改

使用命令行修改支持的 IP 地址类型

管理标签

您可以对资源进行标记,以帮助您识别资源或根据组织的需求进行分类。

使用控制台管理端点服务的标签

  1. 通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/

  2. 在导航窗格中,选择 Endpoint services(端点服务)。

  3. 选择 VPC 端点服务。

  4. 依次选择 Actions(操作)、Manage tags(管理标签)。

  5. 对于每个要添加的标签,请选择 Add new tag(添加新标签),然后输入标签键和标签值。

  6. 若要删除标签,请选择标签的键和值右侧的 Remove(删除)。

  7. 选择 Save(保存)。

使用控制台管理端点连接的标签

  1. 通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/

  2. 在导航窗格中,选择 Endpoint services(端点服务)。

  3. 选择 VPC 端点服务,然后选择 Endpoint connections(端点连接)选项卡。

  4. 选择端点连接,然后依次选择 Actions(操作)、Manage tags(管理标签)。

  5. 对于每个要添加的标签,请选择 Add new tag(添加新标签),然后输入标签键和标签值。

  6. 若要删除标签,请选择标签的键和值右侧的 Remove(删除)。

  7. 选择 Save(保存)。

使用控制台管理端点服务权限的标签

  1. 通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/

  2. 在导航窗格中,选择 Endpoint services(端点服务)。

  3. 选择 VPC 端点服务,然后选择 Allow principals(允许主体)选项卡。

  4. 选择主体,然后依次选择 Actions(操作)、Manage tags(管理标签)。

  5. 对于每个要添加的标签,请选择 Add new tag(添加新标签),然后输入标签键和标签值。

  6. 若要删除标签,请选择标签的键和值右侧的 Remove(删除)。

  7. 选择 Save(保存)。

使用命令行添加和删除标签