本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 使用 Cloud Directory 介面 VPC 端點
<a name="getting_started_using_vpc_endpoints"></a>

如果您使用 Amazon Virtual Private Cloud (Amazon VPC) 來託管 AWS 資源，您可以在 VPC 和 Cloud Directory 之間建立私有連線。您可以使用此連線來啟用 Cloud Directory 不用透過公有網際網路在 VPC 與您的資源進行通訊。

Amazon VPC 是一項 AWS 服務，您可用來在自己定義的虛擬網路中啟動 AWS 資源。您可利用 VPC 來控制您的網路設定，例如 IP 地址範圍、子網路、路由表和網路閘道。若要將您的 VPC 連接到 Cloud Directory，請定義*界面 VPC 端點*(位於 Cloud Directory))。端點能為 Cloud Directory 提供可靠、可擴展性的連線，無須使用網際網路閘道、網路位址轉譯 (NAT) 執行個體或 VPN 連線。如需詳細資訊，請參閱「」[什麼是 Amazon VPC？](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Introduction.html)中的*Amazon VPC 使用者指南*。

界面 VPC 端點由 AWS PrivateLink 提供，一種 AWS 技術可使用 elastic network interface 搭配私有 IP 地址，來在 AWS 服務之間進行私有通訊。如需詳細資訊，請參閱「」[AWS 服務的 AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Introduction.html#what-is-privatelink)。

以下步驟適用於 Amazon VPC 的使用者。如需詳細資訊，請參閱「」[Amazon VPC 入門](https://docs.aws.amazon.com/vpc/latest/userguide/GetStarted.html)中的*Amazon VPC 使用者指南*。

## Availability
<a name="vpc_endpoints_availability"></a>

Cloud Directory 目前在下列區域支援 VPC 端點：
+ US East (Ohio)
+ US East (N. Virginia)
+ US West (Oregon)
+ Asia Pacific (Singapore)
+ Asia Pacific (Sydney)
+ Canada (Central)
+ Europe (Frankfurt)
+ Europe (Ireland)
+ Europe (London)
+ AWS GovCloud (美國西部)

## 為 Cloud Directory 建立 VPC
<a name="vpc_endpoints_create"></a>

若要搭配您的 VPC 開始使用 Cloud Directory，請使用 Amazon VPC 主控台建立 Cloud Directory 的界面 VPC 端點。如需詳細資訊，請參閱[建立界面端點](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#create-interface-endpoint)。
+ 適用於**服務目錄**中，選擇**AWS 服務**。
+ 在 **Service Name (服務名稱)** 中，選擇 **`com.amazonaws.region.clouddirectory`**。這會為 Cloud Directory 作業建立 VPC 端點。

如需一般資訊，請參閱[「什麼是 Amazon VPC？」](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html)中的*Amazon VPC 使用者指南*。

### 控制對 Cloud Directory VPC 端點的存取
<a name="vpc_endpoints_control_access"></a>

當您建立或修改端點時，VPC 端點原則是您連線至端點的 IAM 資源原則。如果您未在建立端點時連接政策，我們會以預設政策連接以允許完整存取服務。端點政策不會覆寫或取代 IAM 使用者政策或服務特定的政策。這個另行區分的政策會控制從端點到所指定之服務的存取。

端點政策必須以 JSON 格式撰寫。如需詳細資訊，請參閱「」[使用 VPC 端點控制對服務的存取](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html)中的*Amazon VPC 使用者指南*。

以下是 Cloud Directory 端點政策的範例。此政策可讓使用者透過 VPC 連接到 Cloud Directory 來列出目錄，而且會防止使用者執行其他 Cloud Directory 動作。

```
{
  "Statement": [
    {
      "Sid": "ReadOnly",
      "Principal": "*",
      "Action": [
        "clouddirectory:ListDirectories"
      ],
      "Effect": "Allow",
      "Resource": "*"
    }
  ]
}
```

**修改 Cloud Directory 的 VPC 端點政策**

1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。

1. 在導覽窗格中選擇 **Endpoints (端點)**。

1. 如果您尚未建立 Cloud Directory 的端點，請選擇**建立端點**。然後選取**`com.amazonaws.region.clouddirectory`**，然後選擇**建立端點**。

1. 選取**`com.amazonaws.region.clouddirectory`**端點，然後選擇**政策**索引標籤 (位於螢幕下半部)。

1. 選擇 **Edit Policy (編輯政策)**，並對政策做出變更。

如需詳細資訊，請參閱「」[使用 VPC 端點控制對服務的存取](https://docs.aws.amazon.com/vpc/latest/userguide/GetStarted.html)中的*Amazon VPC 使用者指南*。