接收端点服务事件的提醒
您可以创建通知以接收与端点服务相关的特定事件的提醒。例如,您可以在连接请求被接受或拒绝时收到电子邮件。
创建 SNS 通知
使用以下过程为通知创建一个 Amazon SNS 主题并订阅该主题。
使用控制台为端点服务创建通知
通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/
。 -
在导航窗格中,选择 Endpoint services(端点服务)。
-
选择端点服务。
-
在 Notifications(通知)选项卡上,选择 Create notofication(创建通知)。
-
对于 Notification ARN(通知 ARN),选择您创建的适用于 SNS 主题的 ARN。
-
要订阅事件,请从 Events(事件)中选择。
Connect(连接)– 服务使用者创建了接口端点。这会向服务提供商发送连接请求。
Accept(接受)– 服务提供商接受了连接请求。
Reject(拒绝)– 服务提供商拒绝了连接请求。
Delete(删除)– 服务使用者删除了接口端点。
-
选择 Create notification(创建通知)。
使用命令行为端点服务创建通知
-
New-EC2VpcEndpointConnectionNotification (Tools for Windows PowerShell)
添加访问策略
向 SNS 主题添加允许 AWS PrivateLink 代表您发布通知的访问策略,如下所示。有关更多信息,请参阅如何编辑 Amazon SNS 主题的访问策略?aws:SourceArn 或 aws:SourceAccount 全局条件键来防止混淆代理人问题。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "vpce.amazonaws.com" }, "Action": "SNS:Publish", "Resource": "arn:aws:sns:region:account-id:topic-name", "Condition": { "ArnLike": { "aws:SourceArn": "arn:aws:ec2:region:account-id:vpc-endpoint-service/service-id" }, "StringEquals": { "aws:SourceAccount": "account-id" } } } ] }
添加密钥策略
如果使用加密的 SNS 主题,则 KMS 密钥的资源策略必须信任 AWS PrivateLink 才能调用 AWS KMS API 操作。以下是示例密钥策略。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "vpce.amazonaws.com" }, "Action": [ "kms:GenerateDataKey*", "kms:Decrypt" ], "Resource": "arn:aws:kms:region:account-id:key/key-id", "Condition": { "ArnLike": { "aws:SourceArn": "arn:aws:ec2:region:account-id:vpc-endpoint-service/service-id" }, "StringEquals": { "aws:SourceAccount": "account-id" } } } ] }
