本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 雲端控制 API 和界面 VPC 端點 (AWS PrivateLink)
<a name="vpc-interface-endpoints"></a>

您可以使用 在 VPC 與 之間 AWS PrivateLink 建立私有連線 AWS 雲端控制 API。您可以像在 VPC 中一樣存取 Cloud Control API，無需使用網際網路閘道、NAT 裝置、VPN 連接或 Direct Connect 連線。VPC 中的執行個體不需要公有 IP 地址即可存取 Cloud Control API。

您可以建立由 AWS PrivateLink提供支援的*介面端點*來建立此私有連線。我們會在您為介面端點啟用的每個子網中建立端點網路介面。這些是請求者管理的網路介面，可做為目的地為 Cloud Control API 之流量的進入點。

Cloud Control API 支援透過界面端點呼叫其所有 API 動作。

## Cloud Control API VPC 端點的考量事項
<a name="vpc-endpoint-considerations"></a>

在您設定 Cloud Control API 的介面 VPC 端點之前，請先確定您已符合《 *AWS PrivateLink 指南*》中的[使用介面 VPC 端點主題存取 AWS 服務](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html)中的先決條件。

## 為 Cloud Control API 建立介面 VPC 端點
<a name="vpc-endpoint-create"></a>

您可以使用 Amazon VPC 主控台或 AWS Command Line Interface () 為 Cloud Control API 建立 VPC 端點AWS CLI。如需詳細資訊，請參閱《*AWS PrivateLink 指南*》中的[建立 VPC 端點](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#create-interface-endpoint-aws)。

使用下列服務名稱建立 Cloud Control API 的介面端點：
+ com.amazonaws.*region*.cloudcontrolapi

如果您為端點啟用私有 DNS，您可以使用區域的預設 DNS 名稱向 Cloud Control API 提出 API 請求，例如 `cloudcontrolapi.us-east-1.amazonaws.com`。

如需詳細資訊，請參閱《Amazon VPC 使用者指南》**中的[使用介面 VPC 端點存取 AWS 服務](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#access-service-though-endpoint)。

## 為 Cloud Control API 建立 VPC 端點政策
<a name="vpc-endpoint-policy"></a>

您可以將端點政策連接至 VPC 端點，以控制對 Cloud Control API 的存取。此政策會指定下列資訊：
+ 可執行動作的主體。
+ 可執行的動作。
+ 可供執行動作的資源。

如需詳細資訊，請參閱《*AWS PrivateLink 指南》*中的[使用端點政策控制 VPC 端點的存取](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html)。

**重要**  
VPCE 端點政策詳細資訊不會傳遞給 Cloud Control API 叫用用於評估的任何下游服務。因此，不會強制執行指定屬於下游服務之動作或資源的政策。  
例如，假設您在 VPC 執行個體中建立 Amazon EC2 執行個體，且在子網路中為雲端控制 API 建立 VPC 端點，且無法存取網際網路。接著，您將下列 VPC 端點政策連接至 VPCE：  

```
{
  "Statement": [
    {
      "Action": [
        "cloudformation:*",
        "ec2:*",
        "lambda:*"
      ]
      "Effect": "Allow",
      "Principal": "*",
      "Resource": "*"
    }
  ]
}
```
如果具有管理員存取權的使用者接著傳送存取執行個體中 Amazon S3 儲存貯體的請求，即使未在 VPCE 政策中授予 Amazon S3 存取權，也不會傳回任何服務錯誤。

**範例：適用於 Cloud Control API 動作的 VPC 端點政策**  
以下是 Cloud Control API 的端點政策範例。連接至 端點時，此政策會授予所有資源上所有主體的所列 Cloud Control API 動作的存取權。下列範例拒絕所有使用者透過 VPC 端點建立資源的許可，並允許完整存取 Cloud Control API 服務上的所有其他動作。

```
{
  "Statement": [
    {
      "Action": "cloudformation:*",
      "Effect": "Allow",
      "Principal": "*",
      "Resource": "*"
    },
    {
      "Action": "cloudformation:CreateResource",
      "Effect": "Deny",
      "Principal": "*",
      "Resource": "*"
    }
  ]
}
```

## 另請參閱
<a name="see-also"></a>
+ [AWS 與 整合的 服務 AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/aws-services-privatelink-support.html)