本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
設定端點服務
建立端點服務之後,您可更新其組態。
管理許可
許可和接受設定的組合可協助您控制哪些服務消費者 (AWS 主體) 可存取您的端點服務。例如,您可將許可授予您信任的特定主體,自動接受所有連線請求,或者可將許可授予更大的主體群組,以手動方式接受您信任的特定連線請求。
根據預設,服務消費者無法使用您的端點服務。您必須新增許可,允許特定 AWS 主體建立介面 VPC 端點以連線至端點服務。若要新增 AWS 委託人的許可,您需要其 Amazon Resource Name (ARN)。以下清單包含適用於支援的 AWS 主體的範例 ARN。
AWS 主體ARNs
- AWS 帳戶 (包括帳戶中的所有主體)
-
arn:aws:iam::
account_id
:root - 角色
-
arn:aws:iam::
account_id
:role/role_name
- 使用者
-
arn:aws:iam::
account_id
:user/user_name
- 所有 中的所有主體 AWS 帳戶
-
*
考量事項
-
如果您授予所有人存取端點服務的許可,並將端點服務設定為接受所有請求,即使負載平衡器沒有公有 IP 地址,它也將是公有的。
-
如果您移除許可,這不會影響端點與先前接受之服務之間的現有連線。
使用主控台為您的端點服務管理許可
在 https://console.aws.amazon.com/vpc/
開啟 Amazon VPC 主控台。 -
在導覽窗格中,選擇 Endpoints Services (端點服務)。
-
選取端點服務,然後選擇 Allow principals (允許主體) 索引標籤。
-
若要新增權限,請選擇 Allow principals (允許主體)。針對 Principals to add (要新增的主體),輸入主體的 ARN。若要新增其他委託人,請選擇 Add principal (新增委託人)。您完成新增主體時,請選擇 Allow principals (允許主體)。
-
若要移除許可,請選取主體,然後選擇 Actions (動作)、Delete (刪除)。出現確認提示時,請輸入
delete
,然後選擇 Delete (刪除)。
若要使用命令列為您的端點服務新增許可
-
modify-vpc-endpoint-service-permissions
(AWS CLI) -
Edit-EC2EndpointServicePermission (Tools for Windows PowerShell)
接受或拒絕連線請求
許可和接受設定的組合可協助您控制哪些服務消費者 (AWS 主體) 可存取您的端點服務。例如,您可將許可授予您信任的特定主體,自動接受所有連線請求,或者可將許可授予更大的主體群組,以手動方式接受您信任的特定連線請求。
您可以設定端點服務以自動接受連線請求。否則,您必須手動接受或拒絕它們。如果您不接受連線請求,服務消費者就無法存取您的端點服務。
如果您授予所有人存取端點服務的許可,並將端點服務設定為接受所有請求,即使負載平衡器沒有公有 IP 地址,它也將是公有的。
當接受或拒絕連線請求時,您會收到通知。如需詳細資訊,請參閱接收端點服務事件的提醒。
使用主控台修改接受設定
在 https://console.aws.amazon.com/vpc/
開啟 Amazon VPC 主控台。 -
在導覽窗格中,選擇 Endpoints Services (端點服務)。
-
選取端點服務。
-
選擇 Actions (動作)、Modify endpoint acceptance setting (修改端點接受設定)。
-
選擇或清除 Acceptance required (需要接受)。
-
選擇 Save changes (儲存變更)
若要使用命令列修改接受設定
-
Edit-EC2VpcEndpointServiceConfiguration (Tools for Windows PowerShell)
使用主控台接受或拒絕連線請求
在 https://console.aws.amazon.com/vpc/
開啟 Amazon VPC 主控台。 -
在導覽窗格中,選擇 Endpoints Services (端點服務)。
-
選取端點服務。
-
從 Endpoint connections (端點連線) 標籤中,選取端點連線。
-
若要接受連線請求,請選擇 Actions (動作)、Accept endpoint connection request (接受端點連線請求)。出現確認提示時,請輸入
accept
,然後選擇 Accept (接受)。 -
若要拒絕連線請求,請選擇 Actions (動作)、Reject endpoint connection request (拒絕端點連線請求)。出現確認提示時,請輸入
reject
,然後選擇 Reject (拒絕)。
若要使用命令列接受或拒絕連線請求
-
accept-vpc-endpoint-connections
或 reject-vpc-endpoint-connections (AWS CLI) -
Approve-EC2EndpointConnection 或 Deny-EC2EndpointConnection (Tools for Windows PowerShell)
管理負載平衡器
您可以管理與端點服務相關聯的負載平衡器。如果端點已連接到您的端點服務,則無法取消關聯負載平衡器。
如果您為 Network Load Balancer 啟用另一個可用區域,則可用區域會顯示在端點服務頁面上的 Load Balancer 索引標籤下。不過,它不會針對 端點服務啟用,也不會列在 端點服務的詳細資訊索引標籤中 AWS Management Console。若要為新的可用區域啟用端點服務,請使用下列程序。
使用主控台管理端點服務的負載平衡器
在 https://console.aws.amazon.com/vpc/
開啟 Amazon VPC 主控台。 -
在導覽窗格中,選擇 Endpoints Services (端點服務)。
-
選取端點服務。
-
選擇 Actions (動作)、Associate or disassociate load balancers (關聯/取消關聯負載平衡器)。
-
視需要變更端點服務組態。例如:
-
選取負載平衡器的核取方塊,將其與端點服務建立關聯。
-
清除負載平衡器的核取方塊,將其與端點服務取消關聯。您必須至少選取一個負載平衡器。
-
-
選擇 Save changes (儲存變更)
系統會為您新增至負載平衡器的任何新可用區域啟用端點服務。新的可用區域會列在 端點服務負載平衡器 索引標籤和詳細資訊索引標籤下。
為端點服務啟用可用區域後,服務取用者可以從該可用區域將子網路新增至其介面 VPC 端點。
使用命令列管理端點服務的負載平衡器
-
Edit-EC2VpcEndpointServiceConfiguration (Tools for Windows PowerShell)
若要在最近為負載平衡器啟用的可用區域中啟用端點服務,只需使用端點服務的 ID 呼叫 命令即可。
關聯私有 DNS 名稱
您可以將私有 DNS 名稱與您的端點服務建立關聯。在關聯私有 DNS 名稱之後,您必須在您的 DNS 伺服器上更新網域項目。在服務消費者使用私有 DNS 名稱之前,服務提供者必須確認他們擁有該網域。如需詳細資訊,請參閱管理 DNS 名稱。
使用主控台修改端點服務私有 DNS 名稱
在 https://console.aws.amazon.com/vpc/
開啟 Amazon VPC 主控台。 -
在導覽窗格中,選擇 Endpoints Services (端點服務)。
-
選取端點服務。
-
選擇 Actions (動作)、Modify private DNS name (修改私有 DNS 名稱)。
-
選取 Associate a private DNS name with the serivce (將私有 DNS 名稱與服務建立關聯),並輸入私有 DNS 名稱。
網域名稱必須為小寫。
您可以在網域名稱中使用萬用字元 (例如,
*.myexampleservice.com
)。
-
選擇 Save changes (儲存變更)。
-
當驗證狀態為 verified (已驗證) 時,私有 DNS 名稱即可供服務消費者使用。如果驗證狀態變更,新的連線請求會遭到拒絕,但現有的連線不受影響。
若要使用命令列修改端點服務私有 DNS 名稱
-
Edit-EC2VpcEndpointServiceConfiguration (Tools for Windows PowerShell)
若要使用主控台來啟動網域驗證程序
在 https://console.aws.amazon.com/vpc/
開啟 Amazon VPC 主控台。 -
在導覽窗格中,選擇 Endpoints Services (端點服務)。
-
選取端點服務。
-
選擇 Actions (動作)、Verify domain ownership for private DNS name (驗證私有 DNS 名稱的網域所有權)。
-
出現確認提示時,請輸入
verify
,然後選擇 Verify (確認)。
若要使用命令列來啟動網域驗證程序
-
start-vpc-endpoint-service-private-dns-verification
(AWS CLI) -
Start-EC2VpcEndpointServicePrivateDnsVerification (Tools for Windows PowerShell)
修改支援的區域
您可以修改端點服務的一組支援區域。您必須先選擇加入,才能新增加入區域。您無法移除託管端點服務的 區域。
移除區域後,服務消費者無法建立新的端點,將其指定為服務區域。移除區域不會影響指定為服務區域的現有端點。當您移除區域時,我們建議您拒絕該區域的任何現有端點連線。
修改端點服務的支援區域
在 https://console.aws.amazon.com/vpc/
開啟 Amazon VPC 主控台。 -
在導覽窗格中,選擇 Endpoints Services (端點服務)。
-
選取端點服務。
-
選擇動作、修改支援的區域。
-
視需要選取和取消選取區域。
-
選擇 Save changes (儲存變更)。
修改支援的 IP 地址類型
您可以變更端點服務支援的 IP 地址類型。
考量事項
若要讓端點服務能夠接受 IPv6 請求,其 Network Load Balancer 必須使用雙堆疊 IP 地址類型。目標不需要支援 IPv6 流量。如需詳細資訊,請參閱《Network Load Balancer 使用者指南》中的 IP 地址類型。
若要使用主控台修改支援的 IP 地址
在 https://console.aws.amazon.com/vpc/
開啟 Amazon VPC 主控台。 -
在導覽窗格中,選擇 Endpoints Services (端點服務)。
-
選取 VPC 端點服務。
-
選擇 Actions (動作)、Modify supported IP address types (修改支援的 IP 地址類型)。
-
針對 Supported IP address types (支援的 IP 地址類型),執行下列其中一個操作:
-
選取 IPv4 - 啟用端點服務以接受 IPv4 請求。
-
選取 IPv6 - 啟用端點服務以接受 IPv6 請求。
-
選取 IPv4 和 IPv6 - 啟用端點服務以接受 IPv4 和 IPv6 請求。
-
-
選擇 Save changes (儲存變更)。
使用命令列修改支援的 IP 地址類型
-
Edit-EC2VpcEndpointServiceConfiguration (Tools for Windows PowerShell)
管理標籤
您可標記您的資源,以幫助您根據組織需求來進行識別或分類。
使用主控台為您的端點服務管理標籤
在 https://console.aws.amazon.com/vpc/
開啟 Amazon VPC 主控台。 -
在導覽窗格中,選擇 Endpoints Services (端點服務)。
-
選取 VPC 端點服務。
-
選擇 Actions (動作)、Manage tags (管理標籤)。
-
針對每個要新增的標籤,請選擇 Add new tag (新增標籤),然後輸入標籤的鍵和值。
-
若要移除標籤,請選擇標籤金鑰和值右側的 Remove (移除)。
-
選擇 Save (儲存)。
使用主控台為您的端點連線管理標籤
在 https://console.aws.amazon.com/vpc/
開啟 Amazon VPC 主控台。 -
在導覽窗格中,選擇 Endpoints Services (端點服務)。
-
選取 VPC 端點服務,然後選擇 Endpoint connections (端點連線) 索引標籤。
-
選取端點連線,然後選擇 Actions (動作)、Manage tags (管理標籤)。
-
針對每個要新增的標籤,請選擇 Add new tag (新增標籤),然後輸入標籤的鍵和值。
-
若要移除標籤,請選擇標籤金鑰和值右側的 Remove (移除)。
-
選擇 Save (儲存)。
使用主控台為您的端點服務許可管理標籤
在 https://console.aws.amazon.com/vpc/
開啟 Amazon VPC 主控台。 -
在導覽窗格中,選擇 Endpoints Services (端點服務)。
-
選取 VPC 端點服務,然後選擇 Allow principals (允許主體) 索引標籤。
-
選取主體,然後選擇 Actions (動作)、Manage tags (管理標籤)。
-
針對每個要新增的標籤,請選擇 Add new tag (新增標籤),然後輸入標籤的鍵和值。
-
若要移除標籤,請選擇標籤金鑰和值右側的 Remove (移除)。
-
選擇 Save (儲存)。
若要使用命令列新增和移除標籤
-
create-tags
和 delete-tags (AWS CLI) -
New-EC2Tag 和 Remove-EC2Tag (Tools for Windows PowerShell)