本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
AWS PrivateLink
AWS PrivateLink允许您通过 VPC 中的私有 IP 地址连接到某些 AWS 服务、由其他 AWS 账户托管的服务(称为终端节点服务)以及支持的AWS Marketplace合作伙伴服务。接口终端节点直接在您的 VPC 内部创建,使用弹性网络接口和 VPC 子网中的 IP 地址。这意味着可以使用 VPC 安全组来管理对终端节点的访问。
如果您想在 AWS 网络中使用私有 IP 地址安全地使用其他 VPC 提供的服务,我们建议您采用这种方法。或者,当 VPC AWS PrivateLink 的 IP 地址重叠时,这是一个不错的解决方案。
AWS PrivateLink完全支持 IPv6,但必须启用或修改目标 VPC、VPC 子网、Network Load Balancer 和 DNS 名称才能使用双堆栈。满足这些先决条件后,可以在终端节点的服务配置中启用 IPv6。
访问控制 AWS PrivateLink
接口终端节点是使用弹性网络接口和 VPC 子网中的 IP 地址直接在您的 VPC 内部创建的。这意味着可以使用 VPC 安全组来管理对终端节点的网络访问。
创建接口终端节点或网关终端节点时,还可以附加终端节点策略。终端节点策略控制哪些 AWS 委托人(AWS 账户、IAM 用户和角色)可以使用 VPC 终端节点访问终端节点服务。
您不能将多个策略附加到一个端点。但是,您可以随时修改端点策略。
终端节点策略不会覆盖或取代 IAM 用户策略或服务特定策略(例如 Amazon S3 存储桶策略)。如果您目前使用接口端点连接到 Amazon S3,则还可以使用 Amazon S3 存储桶策略来控制从特定端点或特定 VPC 对存储桶进行的访问。
其他 资源
