AWS CloudHSM 和 VPC 端點 - AWS CloudHSM
AWS CloudHSM VPC 端點的考量事項為 AWS CloudHSM建立介面 VPC 端點為 建立 VPC 端點政策 AWS CloudHSM

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AWS CloudHSM 和 VPC 端點

您可以建立介面 VPC 端點, AWS CloudHSM 在 VPC 和 之間建立私有連線。介面端點採用 AWS PrivateLink技術,可讓您在沒有網際網路閘道、NAT 裝置、VPN 連線或 AWS Direct Connect 連線的情況下,私下存取 AWS CloudHSM APIs。VPC 中的執行個體不需要公有 IP 地址即可與 AWS CloudHSM APIs通訊。您的 VPC 與 AWS CloudHSM 之間的網路流量都會在 Amazon 網路的範圍內。

每個介面端點都是由您子網路中的一或多個彈性網路介面表示。

如需詳細資訊,請參閱《Amazon VPC 使用者指南》中的界面 VPC 端點 (AWS PrivateLink)

AWS CloudHSM VPC 端點的考量事項

設定介面 VPC 端點之前 AWS CloudHSM,請務必檢閱 Amazon VPC 使用者指南中的介面端點屬性和限制

  • AWS CloudHSM 支援從您的 VPC 呼叫其所有 API 動作。

為 AWS CloudHSM建立介面 VPC 端點

您可以使用 Amazon VPC 主控台或 AWS Command Line Interface () 來建立 AWS CloudHSM 服務的 VPC 端點AWS CLI。如需詳細資訊,請參閱《Amazon VPC 使用者指南》中的建立介面端點

若要為 建立 VPC 端點 AWS CloudHSM,請使用下列服務名稱:

com.amazonaws.region.cloudhsmv2

例如,在美國西部 (奧勒岡) 區域 (us-west-2),服務名稱為:

com.amazonaws.us-west-2.cloudhsmv2

若要更容易使用 VPC 端點,您可以為 VPC 端點啟用私人 DNS 主機名稱。如果您選取啟用私有 DNS 名稱選項,標準 AWS CloudHSM DNS 主機名稱 (https://cloudhsmv2.<region>.amazonaws.com.rproxy.goskope.comhttps://cloudhsmv2.<region>.api.aws) 會解析為您的 VPC 端點。

此選項可讓您更輕鬆使用 VPC 端點。根據預設, AWS SDKs 和 AWS CLI 會使用標準 AWS CloudHSM DNS 主機名稱,因此您不需要在應用程式和命令中指定 VPC 端點 URL。

如需詳細資訊,請參閱《Amazon VPC 使用者指南》中的透過介面端點存取服務

為 建立 VPC 端點政策 AWS CloudHSM

您可以將端點政策連接至控制 AWS CloudHSM存取權限的 VPC 端點。此政策會指定下列資訊:

  • 可執行動作的主體。

  • 可執行的動作。

  • 可供執行動作的資源。

如需詳細資訊,請參閱 Amazon VPC 使用者指南中的使用 VPC 端點控制對服務的存取

範例: AWS CloudHSM 動作的 VPC 端點政策

以下是 的端點政策範例 AWS CloudHSM。連接到端點時,此政策會授予所有資源上所有主體的所列 AWS CloudHSM 動作的存取權。如需其他 AWS CloudHSM 動作及其對應的 IAM 許可的身分和存取管理 AWS CloudHSM,請參閱 。

{
   "Statement":[
      {
         "Principal":"*",
         "Effect":"Allow",
         "Action":[
            "cloudhsm:DescribeBackups",
            "cloudhsm:DescribeClusters",
            "cloudhsm:ListTags",
         ],
         "Resource":"*"
      }
   ]
}