本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 介面 VPC 端點
如果您使用 Amazon Virtual Private Cloud (Amazon VPC) 託管 AWS 資源,您可以在 VPC 與 AWS Identity and Access Management (IAM) 或 AWS Security Token Service () 之間建立私有連線AWS STS。您可以使用此連線來啟用 IAM 或 與 VPC 中的資源 AWS STS 通訊,而無需透過公有網際網路。
Amazon VPC 是一種 AWS 服務,可用來在您定義的虛擬網路中啟動 AWS 資源。您可利用 VPC 來控制您的網路設定,例如 IP 地址範圍、子網路、路由表和網路閘道。若要將 VPC 連線至 IAM 或 AWS STS,請為每個服務定義*介面 VPC 端點*。端點為 IAM 提供可靠、可擴展的連線,或 AWS STS 不需要網際網路閘道、網路位址轉譯 (NAT) 執行個體或 VPN 連線。如需詳細資訊,請參閱 *Amazon VPC 使用者指南*中的[什麼是 Amazon VPC?](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Introduction.html)。
介面 VPC 端點採用 AWS PrivateLink 一種 AWS 技術,可使用具有私有 IP 地址的彈性網路介面,在 AWS 服務之間進行私有通訊。如需詳細資訊,請參閱 [AWS PrivateLink for AWS Services](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html)。
以下資訊適用於 Amazon VPC 的使用者。如需詳細資訊,請參閱《Amazon VPC 使用者指南》**中的 [Amazon VPC 入門](https://docs.aws.amazon.com/vpc/latest/userguide/GetStarted.html)。
**Topics**
+ [VPC 端點可用性](#reference_vpc_endpoint_availability)
+ [建立 IAM 的 VPC 端點](reference_iam_vpc_endpoint_create.md)
+ [建立 的 VPC 端點 AWS STS](reference_sts_vpc_endpoint_create.md)
## VPC 端點可用性
**重要**
只能在 [IAM 控制平面](disaster-recovery-resiliency.md)所在的區域中建立 IAM 的介面 VPC 端點。如果您的 VPC 位於與 IAM 控制平面區域不同的區域,您必須使用 AWS Transit Gateway 來允許從另一個區域存取 IAM 介面 VPC 端點。如需詳細資訊,請參閱[建立 IAM 的 VPC 端點](reference_iam_vpc_endpoint_create.md)。
IAM 目前在下列區域支援 VPC 端點:
+ 美國東部 (維吉尼亞北部)
+ 中國 (北京)
+ AWS GovCloud (美國西部)
AWS STS 目前在下列區域中支援 VPC 端點:
+ 美國東部 (維吉尼亞北部)
+ 美國東部 (俄亥俄)
+ 美國西部 (加利佛尼亞北部)
+ 美國西部 (奧勒岡)
+ 非洲 (開普敦)
+ 亞太地區 (香港)
+ 亞太區域 (海德拉巴)
+ 亞太地區 (雅加達)
+ 亞太地區 (墨爾本)
+ 亞太地區 (孟買)
+ 亞太區域 (大阪)
+ 亞太區域 (首爾)
+ 亞太區域 (新加坡)
+ 亞太地區 (雪梨)
+ 亞太區域 (東京)
+ 加拿大 (中部)
+ 加拿大西部 (卡加利)
+ 中國 (北京)
+ 中國 (寧夏)
+ 歐洲 (法蘭克福)
+ 歐洲 (愛爾蘭)
+ 歐洲 (倫敦)
+ 歐洲 (米蘭)
+ Europe (Paris)
+ 歐洲 (西班牙)
+ 歐洲 (斯德哥爾摩)
+ 歐洲 (蘇黎世)
+ 以色列 (特拉維夫)
+ Middle East (Bahrain)
+ 中東 (阿拉伯聯合大公國)
+ 南美洲 (聖保羅)
+ AWS GovCloud (美國東部)
+ AWS GovCloud (美國西部)
# 建立 IAM 的 VPC 端點
若要開始使用 IAM 與 VPC,請建立 IAM 的介面 VPC 端點。如需詳細資訊,請參閱[《Amazon VPC 使用者指南》中的使用介面 VPC 端點存取 AWS 服務](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html)。 **
只能在 [IAM 控制平面](disaster-recovery-resiliency.md)所在的區域中建立 IAM 的介面 VPC 端點。在商業上 AWS 區域,IAM 控制平面位於美國東部 (維吉尼亞北部) 區域 (us-east-1)。IAM 的 AWS PrivateLink 介面 VPC 端點服務名稱為 `com.amazonaws.iam`。如需 AWS 區域 支援 IAM VPC 端點的清單,請參閱 [VPC 端點可用性](reference_interface_vpc_endpoints.md#reference_vpc_endpoint_availability)。
如果您的 VPC 位於與 IAM 控制平面區域不同的區域,則必須使用 AWS Transit Gateway 來允許從另一個區域存取 IAM 介面 VPC 端點。
**使用 從不同區域中的 VPC 存取 IAM 介面 VPC 端點 AWS Transit Gateway**
1. 建立傳輸閘道,或使用現有的傳輸閘道來互連虛擬私有雲端 (VPC)。每個區域均需要傳輸閘道。如需詳細資訊,請參閱《AWS Transit Gateway 指南》**中的[建立傳輸閘道](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-transit-gateways.html#create-tgw)。
1. 建立傳輸閘道 VPC 連接,將每個 VPC 連線到傳輸閘道。如需詳細資訊,請參閱《AWS Transit Gateway 指南》**中的[建立 VPC 的傳輸閘道連接](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-vpc-attachments.html#create-vpc-attachment)。
1. 建立傳輸閘道 VPC 對等連接,以在對等 VPC 之間路由流量。如需詳細資訊,請參閱《AWS Transit Gateway 指南》**中的[建立對等連接](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-peering.html#tgw-peering-create)。
**注意**
VPC 對等互連也可以在對等 VPC 之間路由流量,但如果存在大量 VPC 時,此方法無法很好地擴展。建議不要使用 VPC 對等互連,而是使用 AWS Transit Gateway 對等連接,它透過可擴展的中央樞紐來改善 VPC 和內部部署網路管理。如需 VPC 對等互連的詳細資訊,請參閱《Amazon VPC 對等互連指南》中的[使用 VPC 對等互連](https://docs.aws.amazon.com/vpc/latest/peering/working-with-vpc-peering.html)。**
# 建立 的 VPC 端點 AWS STS
若要開始 AWS STS 搭配 VPC 使用 ,請為 建立介面 VPC 端點 AWS STS。如需詳細資訊,請參閱[《Amazon VPC 使用者指南》中的使用介面 VPC 端點存取 AWS 服務](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html)。 **
建立 VPC 端點之後,您必須使用相符的區域端點來傳送您的 AWS STS 請求。 AWS STS 建議使用 `setRegion`和 `setEndpoint`方法來呼叫區域端點。您可以單獨將 `setRegion` 方法用在手動啟用的區域,例如亞太區域 (香港)。在這種情況下,系統會將呼叫導向 STS 區域端點。如要了解如何手動啟用區域,請參閱 *AWS 一般參考* 中的[管理 AWS 區域](https://docs.aws.amazon.com/general/latest/gr/rande-manage.html)。如果您單獨將 `setRegion` 方法用在預設啟用的區域,系統會將呼叫導向 `[https://sts.amazonaws.com](https://sts.amazonaws.com)` 的全域端點。
當您使用區域端點時, AWS 會使用公有端點或私有介面 VPC 端點 AWS STS 呼叫其他服務,以使用中者為準。例如,假設您已建立 的介面 VPC 端點, AWS STS 並已從位於 VPC 中的 AWS STS 資源請求臨時登入資料。在這種情況下,依預設這些憑證會開始流過界面 VPC 端點。如需使用 提出區域請求的詳細資訊 AWS STS,請參閱 [在 AWS STS 中管理 AWS 區域](id_credentials_temp_enable-regions.md)。