在 Amazon 中使用界面VPC端點 EFS - Amazon Elastic File System
建立界面端點建立端點策略

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

在 Amazon 中使用界面VPC端點 EFS

若要在虛擬私有雲 (VPC) 和 Amazon 之間建立私有連線 EFSAPI,您可以建立介面VPC端點。端點提供與 Amazon 的安全連線,EFSAPI無需網際網路閘道、NAT執行個體或虛擬私人網路 (VPN) 連線。如需詳細資訊,請參閱 Amazon VPC 使用者指南中的介面VPC端點

介面VPC端點具備支援 AWS PrivateLink,這項功能可讓使用私有 IP 位址的 AWS 服務之間進行私人通訊。要使用 AWS PrivateLink,請VPC使用 Amazon VPC 控制台為 Amazon EFS 創建一個接口VPC端點API,或CLI. 這樣做會在子網路中建立一個彈性網路界面,其中包含服務 Amazon EFS API 請求的私有 IP 地址。您也可以VPCs使用 AWS VPN、 AWS Direct Connect或VPC對等從內部部署環境或其他環境存取VPC端點。若要進一步了解,請參Amazon VPC 使用者指南 AWS PrivateLink中的透過存取服務

為 Amazon 創建一個接口端點 EFS

若要為 Amazon 建立介面VPC端點EFS,請使用下列其中一項:

  • com.amazonaws.region.elasticfilesystem— 為 Amazon EFS API 操作創建端點。

  • com.amazonaws.region.elasticfilesystem-fips— 為 Amazon EFS API 建立符合聯邦資訊處理標準 (FIPS) 14 0-2 的端點。

如需 Amazon EFS 端點的完整清單,請參閱中的 Amazon Elastic File System Amazon Web Services 一般參考

有關如何建立界面端點的詳細資訊,請參閱 Amazon VPC 使用者指南中的建立界面端點

為 Amazon 創建VPC端點策略 EFS

若要控制對 Amazon 的存取 EFSAPI,您可以將 AWS Identity and Access Management (IAM) 政策附加到您的VPC端點。此政策會指定以下項目:

  • 可執行動作的主體。

  • 可執行的動作。

  • 可供執行動作的資源。

如需詳細資訊,請參閱 Amazon VPC 使用者指南的使用VPC端點控制對服務的存取。

下列範例顯示VPC端點策略,拒絕所有人透過端點建立EFS檔案系統的權限。範例政策也會授予所有人執行所有其他動作的許可。

{
   "Statement": [
        {
            "Action": "*",
            "Effect": "Allow",
            "Resource": "*",
            "Principal": "*"
        },
        {
            "Action": "elasticfilesystem:CreateFileSystem",
            "Effect": "Deny",
            "Resource": "*",
            "Principal": "*"
        }
    ]
}

如需詳細資訊,請參閱 Amazon 使用VPC者指南中的使用VPC端點政策