本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 連線至 AWS KMS VPC 端點 您可以使用 AWS SDK AWS CLI、 或 , AWS KMS 透過 VPC 端點連線至 AWS Tools for PowerShell。若要指定 VPC 端點,請使用它的 DNS 名稱。 例如,此 [list-keys](https://docs.aws.amazon.com/cli/latest/reference/kms/list-keys.html) 命令會使用 `endpoint-url` 參數來指定 VPC 端點。若要使用如下的命令,請將範例 VPC 端點 ID 換成您帳戶中的 ID。 ``` $ aws kms list-keys --endpoint-url https://vpce-1234abcdf5678c90a-09p7654s-us-east-1a.ec2.us-east-1.vpce.amazonaws.com ``` **所需的許可** 若要讓使用 VPC 端點的 AWS KMS 請求成功,委託人需要兩個來源的許可: + [金鑰政策](key-policies.md)、[IAM 政策](iam-policies.md),或[授予](grants.md)必須為委託人授予對資源 (KMS 金鑰或別名) 呼叫操作的許可。 + VPC 端點政策必須授予委託人許可,才能使用端點提出請求。 例如,金鑰政策可能會授予委託人對特定 KMS 金鑰呼叫 [Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) 的許可。不過,VPC 端點政策可能不允許該委託人透過使用端點對該 KMS 金鑰呼叫 `Decrypt`。 或者,VPC 端點政策可能允許委託人使用端點呼叫對某些 KMS 金鑰呼叫 [DisableKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisableKey.html)。但是,如果委託人沒有來自金鑰政策、IAM 政策或授予的許可,則請求會失敗。 您可以在建立端點時建立 VPC 端點政策,並且可以隨時變更 VPC 端點政策。使用 VPC 管理主控台,或 [CreateVpcEndpoint](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CreateVpcEndpoint.html) 或 [ModifyVpcEndpoint](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ModifyVpcEndpoint.html) 操作。您也可以[使用 AWS CloudFormation 範本](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-ec2-vpcendpoint.html)建立和變更 VPC 端點政策。如需有關如何使用 VPC 管理主控台的說明,請參閱《AWS PrivateLink 指南》**中的[建立介面端點](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#create-interface-endpoint)和[修改介面端點](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#modify-interface-endpoint)。 **私有主機名稱** 如果您在建立 VPC 端點時啟用私有主機名稱,則不需要在 CLI 命令或應用程式組態中指定 VPC 端點 URL。標準 AWS KMS DNS 主機名稱會解析為您的 VPC 端點。 AWS CLI 和 SDKs預設使用此主機名稱,因此您可以開始使用 VPC 端點連線到 AWS KMS 區域端點,而無需變更指令碼和應用程式中的任何內容。 若要使用私有主機名稱,您 VPC 的 `enableDnsHostnames` 和 `enableDnsSupport` 屬性必須設為 `true`。如需設定這些屬性,請使用 [ModifyVpcAttribute](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ModifyVpcAttribute.html) 操作。如需詳細資訊,請參閱《Amazon VPC 使用者指南》**中的[檢視和更新 VPC 的 DNS 屬性](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc-dns-updating)。