配置端点服务 - Amazon Virtual Private Cloud
管理权限接受或拒绝连接请求管理负载均衡器关联私有 DNS 名称修改支持的 IP 地址类型管理标签

配置端点服务

创建端点服务后,您可以更新其配置。

管理权限

权限和接受设置的组合可帮助您控制哪些服务使用者(AWS 主体)可以访问端点服务。例如,可以为您信任的特定主体授予权限,并自动接受所有连接请求;您还可以为范围更广的主体组授予权限,并手动接受您信任的特定连接请求。

默认情况下,您的端点服务对服务使用者不可用。您必须添加允许特定 AWS 主体创建接口 VPC 端点的权限,以连接到您的端点服务。要为 AWS 主体添加权限,您需要其 Amazon 资源名称(ARN)。以下列表包括支持的 AWS 主体的 ARN 示例。

AWS 主体的 ARN
AWS 账户(包括账户中的所有主体)

arn:aws:iam::account_id:root

角色

arn:aws:iam::account_id:role/role_name

用户

arn:aws:iam::account_id:user/user_name

所有 AWS 账户 中的所有主体

*

注意事项

  • 如果您授予所有人访问端点服务的权限,并将端点服务配置为接受所有请求,则即使您的负载均衡器没有公有 IP 地址,它也将是公有的。

  • 如果您移除权限,则不会影响端点与服务之间先前已接受的现有连接。

使用控制台管理端点服务的权限

  1. 通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/

  2. 在导航窗格中,选择 Endpoint services(端点服务)。

  3. 选择端点服务,然后选择 Allow principals(允许主体)选项卡。

  4. 要添加权限,请选择 Allow principals(允许主体)。对于 Principals to add(要添加的主体),输入主体的 ARN。要添加另一个委托人,请选择 Add principal(添加委托人)。添加主体后,请选择 Allow principals(允许主体)。

  5. 要删除权限,请选择该主体,然后依次选择 Actions(操作)、Delete(删除)。提示进行确认时,输入 delete,然后选择 Delete(删除)。

使用命令行为端点服务添加权限

接受或拒绝连接请求

权限和接受设置的组合可帮助您控制哪些服务使用者(AWS 主体)可以访问端点服务。例如,可以为您信任的特定主体授予权限,并自动接受所有连接请求;您还可以为范围更广的主体组授予权限,并手动接受您信任的特定连接请求。

您可以将端点服务配置为自动接受连接请求。否则,您必须手动接受或拒绝请求。如果您不接受连接请求,服务使用者将无法访问端点服务。

如果您授予所有人访问端点服务的权限,并将端点服务配置为接受所有请求,则即使您的负载均衡器没有公有 IP 地址,它也将是公有的。

当连接请求被接受或拒绝时,您会收到通知。有关更多信息,请参阅 接收端点服务事件的提醒

使用控制台修改接受设置

  1. 通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/

  2. 在导航窗格中,选择 Endpoint services(端点服务)。

  3. 选择端点服务。

  4. 选择 ActionsModify endpoint acceptance setting

  5. 选择或清除 Acceptance required(需要接受)。

  6. 选择 Save changes(保存更改)

使用命令行修改接受设置
使用控制台接受或拒绝连接请求

  1. 通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/

  2. 在导航窗格中,选择 Endpoint services(端点服务)。

  3. 选择端点服务。

  4. Endpoint connections(端点连接)选项卡中,选择端点连接。

  5. 要接受连接请求,依次选择 Actions(操作)、Accept endpoint connection request(接受端点连接请求)。提示进行确认时,输入 accept,然后选择 Accept(接受)。

  6. 要拒绝连接请求,请选择 Actions(操作)Reject endpoint connection request(拒绝端点连接请求)。提示进行确认时,输入 reject,然后选择 Reject(拒绝)。

使用命令行接受或拒绝连接请求

管理负载均衡器

您可以管理与端点服务相关联的负载均衡器。如果已有端点连接到端点服务,则您无法取消关联负载均衡器。

如果您为网络负载均衡器启用另一个可用区,则也可以为您的端点服务启用可用区。如果您为端点服务启用可用区,则服务使用者可以将该可用区中的子网添加到其接口 VPC 端点。

要使用控制台管理端点服务的负载均衡器

  1. 通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/

  2. 在导航窗格中,选择 Endpoint services(端点服务)。

  3. 选择端点服务。

  4. 依次选择 Actions(操作)、Associate or disassociate load balancers(关联或取消关联负载均衡器)。

  5. 根据需要更改端点服务配置。例如:

    • 选中负载均衡器的复选框,以便将其与端点服务关联。

    • 清除负载均衡器的复选框,以便将其与端点服务取消关联。您必须至少选择一个负载均衡器。

    • 如果您最近为负载均衡器启用了另一个可用区,则它会显示在 Included Availability Zones(包括的可用区)下。如果您在下一步中保存更改,则会为新的可用区启用端点服务。

  6. 选择 Save changes(保存更改)

要使用命令行更改端点服务的负载均衡器

要在最近为负载均衡器启用的可用区中启用端点服务,您只需使用端点服务的 ID 调用命令即可。

关联私有 DNS 名称

您可以将私有 DNS 名称与端点服务相关联。关联私有 DNS 名称后,您必须更新 DNS 服务器上域的条目。服务提供商必须先验证服务使用者拥有该域,然后服务使用者才能使用私有 DNS 名称。有关更多信息,请参阅 管理 DNS 名称

使用控制台修改端点服务私有 DNS 名称

  1. 通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/

  2. 在导航窗格中,选择 Endpoint services(端点服务)。

  3. 选择端点服务。

  4. 依次选择 Actions(操作)、Modify private DNS name(修改私有 DNS 名称)。

  5. 选择 Associate a private DNS name with the service(将私有 DNS 名称与服务关联),然后输入私有 DNS 名称。

    • 域名必须使用小写。

    • 您可以在域名中使用通配符(例如 *.myexampleservice.com)。

  6. 选择 Save changes(保存更改)

  7. 如果验证状态为 verified(已验证),则私有 DNS 名称可供服务使用者使用。如果验证状态发生变化,新的连接请求将被拒绝,但现有连接不会受到影响。

使用命令行修改端点服务私有 DNS 名称
使用控制台启动域验证过程

  1. 通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/

  2. 在导航窗格中,选择 Endpoint services(端点服务)。

  3. 选择端点服务。

  4. 依次选择 Actions(操作)、Verify domain ownership for private DNS name(验证私有 DNS 名称的域所有权)。

  5. 提示进行确认时,输入 verify,然后选择 Verify(验证)

使用命令行启动域验证过程

修改支持的 IP 地址类型

您可以更改端点服务支持的 IP 地址类型。

考虑因素

要使您的端点服务能够接受 IPv6 请求,其网络负载均衡器必须使用双堆栈 IP 地址类型。目标无需支持 IPv6 流量。有关更多信息,请参阅《网络负载均衡器用户指南》中的 IP 地址类型

使用控制台修改支持的 IP 地址类型

  1. 通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/

  2. 在导航窗格中,选择 Endpoint services(端点服务)。

  3. 选择 VPC 端点服务。

  4. 依次选择 Actions(操作)、Modify supported IP address types(修改支持的 IP 地址类型)。

  5. 对于 Supported IP address types(支持的 IP 地址类型),执行以下任一操作:

    • 选择 IPv4 – 启用端点服务以接受 IPv4 请求。

    • 选择 IPv6 – 启用端点服务以接受 IPv6 请求。

    • 选择 IPv4IPv6 – 启用端点服务以接受 IPv4 和 IPv6 请求。

  6. 选择 Save changes(保存更改)

使用命令行修改支持的 IP 地址类型

管理标签

您可以对资源进行标记,以帮助您识别资源或根据组织的需求进行分类。

使用控制台管理端点服务的标签

  1. 通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/

  2. 在导航窗格中,选择 Endpoint services(端点服务)。

  3. 选择 VPC 端点服务。

  4. 依次选择 Actions(操作)、Manage tags(管理标签)。

  5. 对于每个要添加的标签,请选择 Add new tag(添加新标签),然后输入标签键和标签值。

  6. 若要删除标签,请选择标签的键和值右侧的 Remove(删除)。

  7. 选择 Save(保存)。

使用控制台管理端点连接的标签

  1. 通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/

  2. 在导航窗格中,选择 Endpoint services(端点服务)。

  3. 选择 VPC 端点服务,然后选择 Endpoint connections(端点连接)选项卡。

  4. 选择端点连接,然后依次选择 Actions(操作)、Manage tags(管理标签)。

  5. 对于每个要添加的标签,请选择 Add new tag(添加新标签),然后输入标签键和标签值。

  6. 若要删除标签,请选择标签的键和值右侧的 Remove(删除)。

  7. 选择 Save(保存)。

使用控制台管理端点服务权限的标签

  1. 通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/

  2. 在导航窗格中,选择 Endpoint services(端点服务)。

  3. 选择 VPC 端点服务,然后选择 Allow principals(允许主体)选项卡。

  4. 选择主体,然后依次选择 Actions(操作)、Manage tags(管理标签)。

  5. 对于每个要添加的标签,请选择 Add new tag(添加新标签),然后输入标签键和标签值。

  6. 若要删除标签,请选择标签的键和值右侧的 Remove(删除)。

  7. 选择 Save(保存)。

使用命令行添加和删除标签