AWS CloudHSM 和 VPC 端點 - AWS CloudHSM
AWS CloudHSM VPC 端點的考量為 AWS CloudHSM建立介面 VPC 端點建立 VPC 端點原則 AWS CloudHSM

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AWS CloudHSM 和 VPC 端點

您可以在 VPC 和 AWS CloudHSM 建立介面 VPC 端點之間建立私人連線。介面端點採用這項技術 AWS PrivateLink,可讓您在沒有網際網路閘道、NAT 裝置、VPN 連線或 AWS Direct Connect 連線的情況下私有存取 AWS CloudHSM API。VPC 中的執行個體不需要公有 IP 位址即可與 AWS CloudHSM API 通訊。您的 VPC 與 AWS CloudHSM 之間的網路流量都會在 Amazon 網路的範圍內。

每個介面端點都是由您子網路中的一或多個彈性網路介面表示。

如需詳細資訊,請參閱 Amazon VPC 使用者指南中的介面虛擬私人雲端端點 (AWS PrivateLink)

AWS CloudHSM VPC 端點的考量

在為其設定介面 VPC 端點之前 AWS CloudHSM,請務必先查看 Amazon VPC 使用者指南中的界面端點屬性和限制

  • AWS CloudHSM 支援從您的 VPC 呼叫其所有 API 動作。

為 AWS CloudHSM建立介面 VPC 端點

您可以使用 Amazon VPC 主控台或 AWS Command Line Interface (CLI) 為 AWS CloudHSM 服務建立 VPC 端點。如需詳細資訊,請參閱《Amazon VPC 使用者指南》中的建立介面端點

若要為其建立 VPC 端點 AWS CloudHSM,請使用下列服務名稱:

com.amazonaws.region.cloudhsmv2

例如,在美國西部 (奧勒岡) 區域 (us-west-2),服務名稱為:

com.amazonaws.us-west-2.cloudhsmv2

若要更容易使用 VPC 端點,您可以為 VPC 端點啟用私人 DNS 主機名稱。如果您選取「啟用私人 DNS 名稱」選項,則標準 AWS CloudHSM DNS 主機名稱 (https://cloudhsmv2.<region>.amazonaws.com) 會解析為您的 VPC 端點。

此選項可讓您更輕鬆使用 VPC 端點。 AWS SDK 和 CLI 預設使用標準 AWS CloudHSM DNS 主機名稱,因此您不需要在應用程式和命令中指定 VPC 端點 URL。

如需詳細資訊,請參閱《Amazon VPC 使用者指南》中的透過介面端點存取服務

建立 VPC 端點原則 AWS CloudHSM

您可以將端點政策連接至控制 AWS CloudHSM存取權限的 VPC 端點。此政策會指定下列資訊:

  • 可執行動作的主體。

  • 可執行的動作。

  • 可供執行動作的資源。

如需詳細資訊,請參閱 Amazon VPC 使用者指南中的使用 VPC 端點控制對服務的存取

範例:用於動作的 VPC 端點原則 AWS CloudHSM

以下是的端點策略範例 AWS CloudHSM。連接至端點時,此策略會授與所有資源上所有主參與者所列 AWS CloudHSM 動作的存取權。的身分識別與存取管理 AWS CloudHSM如需其他 AWS CloudHSM 動作及其對應的 IAM 許可,請參閱。

{
   "Statement":[
      {
         "Principal":"*",
         "Effect":"Allow",
         "Action":[
            "cloudhsm:DescribeBackups",
            "cloudhsm:DescribeClusters",
            "cloudhsm:ListTags",
         ],
         "Resource":"*"
      }
   ]
}