本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# Directory Service 使用 的 API 和界面 Amazon VPC 端點 AWS PrivateLink
您可以使用 AWS PrivateLink 在 VPC 和 Directory Service 和 Directory Service Data APIs之間建立私有連線。這可讓您像在 VPC 中一樣存取 Directory Service 和 Directory Service Data APIs,無需使用網際網路閘道、NAT 裝置、VPN 連線或 Direct Connect 連線。Amazon VPC 中的執行個體不需要公有 IP 地址即可存取 Directory Service 和 Directory Service Data APIs。
若要建立私有連線,您可以建立 AWS PrivateLink 支援的界面 Amazon VPC 端點。我們會在您為介面端點啟用的每個子網中建立端點網路介面。這些是申請者管理的網路介面,可做為目的地為 AWS Directory Service 和 AWS Directory Service Data 之流量的進入點。
如需詳細資訊,請參閱《 *AWS PrivateLink 指南*》中的[AWS 服務 透過 存取 AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/privatelink-access-aws-services.html) 。
## Directory Service 和 Directory Service Data 的考量事項
使用 Directory Service 和 Directory Service Data,您可以透過介面端點呼叫 API 動作。如需建立介面端點之前需要考量的先決條件的相關資訊,請參閱《 *AWS PrivateLink 指南*》中的[AWS 服務 使用介面 Amazon VPC 端點存取](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#considerations-interface-endpoints) 。
## Directory Service 和目錄服務資料可用性
Directory Service 和 Directory Service Data 支援所有 AWS 區域 可用介面端點。如需有關支援 AWS 區域 Directory Service 和 Directory Service Data 的資訊,請參閱 [的區域可用性 Directory Service](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/regions.html)。
## 為 Directory Service 和 Directory Service Data 建立界面 Amazon VPC 端點
您可以使用 Amazon VPC 主控台或 AWS Command Line Interface () 為 Directory Service 和 Directory Service Data APIs 建立介面端點AWS CLI。
**範例: Directory Service**
使用下列服務名稱建立 Directory Service APIs的介面端點:
```
com.amazonaws.region.ds
```
**範例:目錄服務資料**
使用下列服務名稱建立 Directory Service Data APIs介面端點:
```
com.amazonaws.region.ds-data
```
如需建立介面端點的詳細資訊,請參閱《 *AWS PrivateLink 指南*》中的[AWS 服務 使用介面 Amazon VPC 端點存取](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#considerations-interface-endpoints) 。
## 為您的界面 Amazon VPC 端點建立 Amazon VPC 端點政策
端點政策是您連接到介面端點的 IAM 資源政策。
**注意**
如果您未將端點政策連接至介面端點, 會代表您 AWS PrivateLink 將預設端點政策連接至介面端點。如需詳細資訊,請參閱 [AWS PrivateLink 概念](https://docs.aws.amazon.com/vpc/latest/privatelink/concepts.html)。
端點政策會指定以下資訊:
+ 可執行動作的委託人 (、IAM AWS 帳戶使用者和 IAM 角色)
+ 可執行的動作
+ 可以對其執行動作的資源
如需詳細資訊,請參閱《*AWS PrivateLink 指南*》中的「[使用端點政策控制對服務的存取](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html)」。
您可以將自訂端點政策連接至介面端點,以控制從 Amazon VPC 對 APIs 的存取。
**範例:適用於 Directory Service API 動作的 Amazon VPC 端點政策**
以下是自訂端點政策的範例。當您將此政策連接至介面端點時,它會授予所有資源上所有主體的所列 Directory Service 動作的存取權。
將 *action-1*、 *action-2* 和 *action-3* 取代為您想要包含在政策中的 Directory Service APIs的必要許可。如需完整清單,請參閱[Directory Service API 許可:動作、資源和條件參考](UsingWithDS_IAM_ResourcePermissions.md)。
```
{
"Statement": [
{
"Principal": "*",
"Effect": "Allow",
"Action": [
"ds:action-1",
"ds:action-2",
"ds:action-3"
],
"Resource":"*"
}
]
}
```
**範例: Directory Service Data API 動作的 Amazon VPC 端點政策**
以下是自訂端點政策的範例。當您將此政策連接至介面端點時,它會授予所有資源上所有主體的列出 Directory Service Data 動作的存取權。
將 *action-1*、 *action-2* 和 *action-3* 取代為您要包含在政策中的 Directory Service Data APIs 的必要許可。如需完整清單,請參閱[Directory Service API 許可:動作、資源和條件參考](UsingWithDS_IAM_ResourcePermissions.md)。
```
{
"Statement": [
{
"Principal": "*",
"Effect": "Allow",
"Action": [
"ds-data:action-1",
"ds-data:action-2",
"ds-data:action-3"
],
"Resource":"*"
}
]
}
```