設定端點服務 - Amazon Virtual Private Cloud

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

設定端點服務

建立端點服務之後,您可更新其組態。

管理許可

許可和接受設定的組合可協助您控制哪些服務消費者 (AWS 主體) 可存取您的端點服務。例如,您可將許可授予您信任的特定主體,自動接受所有連線請求,或者可將許可授予更大的主體群組,以手動方式接受您信任的特定連線請求。

根據預設,服務消費者無法使用您的端點服務。您必須新增許可,允許特定 AWS 主體建立介面 VPC 端點以連線至端點服務。若要新增 AWS 委託人的許可,您需要其 Amazon Resource Name (ARN)。以下清單包含適用於支援的 AWS 主體的範例 ARN。

AWS 主體ARNs
AWS 帳戶 (包括帳戶中的所有主體)

arn:aws:iam::account_id:root

角色

arn:aws:iam::account_id:role/role_name

使用者

arn:aws:iam::account_id:user/user_name

所有 中的所有主體 AWS 帳戶

*

考量事項
  • 如果您授予所有人存取端點服務的許可,並將端點服務設定為接受所有請求,即使負載平衡器沒有公有 IP 地址,它也將是公有的。

  • 如果您移除許可,這不會影響端點與先前接受之服務之間的現有連線。

使用主控台為您的端點服務管理許可
  1. https://console.aws.amazon.com/vpc/ 開啟 Amazon VPC 主控台。

  2. 在導覽窗格中,選擇 Endpoints Services (端點服務)

  3. 選取端點服務,然後選擇 Allow principals (允許主體) 索引標籤。

  4. 若要新增權限,請選擇 Allow principals (允許主體)。針對 Principals to add (要新增的主體),輸入主體的 ARN。若要新增其他委託人,請選擇 Add principal (新增委託人)。您完成新增主體時,請選擇 Allow principals (允許主體)

  5. 若要移除許可,請選取主體,然後選擇 Actions (動作)Delete (刪除)。出現確認提示時,請輸入 delete,然後選擇 Delete (刪除)。

若要使用命令列為您的端點服務新增許可

接受或拒絕連線請求

許可和接受設定的組合可協助您控制哪些服務消費者 (AWS 主體) 可存取您的端點服務。例如,您可將許可授予您信任的特定主體,自動接受所有連線請求,或者可將許可授予更大的主體群組,以手動方式接受您信任的特定連線請求。

您可以設定端點服務以自動接受連線請求。否則,您必須手動接受或拒絕它們。如果您不接受連線請求,服務消費者就無法存取您的端點服務。

如果您授予所有人存取端點服務的許可,並將端點服務設定為接受所有請求,即使負載平衡器沒有公有 IP 地址,它也將是公有的。

當接受或拒絕連線請求時,您會收到通知。如需詳細資訊,請參閱接收端點服務事件的提醒

使用主控台修改接受設定
  1. https://console.aws.amazon.com/vpc/ 開啟 Amazon VPC 主控台。

  2. 在導覽窗格中,選擇 Endpoints Services (端點服務)

  3. 選取端點服務。

  4. 選擇 Actions (動作)Modify endpoint acceptance setting (修改端點接受設定)

  5. 選擇或清除 Acceptance required (需要接受)。

  6. 選擇 Save changes (儲存變更)

若要使用命令列修改接受設定
使用主控台接受或拒絕連線請求
  1. https://console.aws.amazon.com/vpc/ 開啟 Amazon VPC 主控台。

  2. 在導覽窗格中,選擇 Endpoints Services (端點服務)

  3. 選取端點服務。

  4. Endpoint connections (端點連線) 標籤中,選取端點連線。

  5. 若要接受連線請求,請選擇 Actions (動作)、Accept endpoint connection request (接受端點連線請求)。出現確認提示時,請輸入 accept,然後選擇 Accept (接受)。

  6. 若要拒絕連線請求,請選擇 Actions (動作)Reject endpoint connection request (拒絕端點連線請求)。出現確認提示時,請輸入 reject,然後選擇 Reject (拒絕)。

若要使用命令列接受或拒絕連線請求

管理負載平衡器

您可以管理與端點服務相關聯的負載平衡器。如果端點已連接到您的端點服務,則無法取消關聯負載平衡器。

如果您為 Network Load Balancer 啟用另一個可用區域,則可用區域會顯示在端點服務頁面上的 Load Balancer 索引標籤下。不過,它不會針對 端點服務啟用,也不會列在 端點服務的詳細資訊索引標籤中 AWS Management Console。若要為新的可用區域啟用端點服務,請使用下列程序。

使用主控台管理端點服務的負載平衡器
  1. https://console.aws.amazon.com/vpc/ 開啟 Amazon VPC 主控台。

  2. 在導覽窗格中,選擇 Endpoints Services (端點服務)

  3. 選取端點服務。

  4. 選擇 Actions (動作)、Associate or disassociate load balancers (關聯/取消關聯負載平衡器)。

  5. 視需要變更端點服務組態。例如:

    • 選取負載平衡器的核取方塊,將其與端點服務建立關聯。

    • 清除負載平衡器的核取方塊,將其與端點服務取消關聯。您必須至少選取一個負載平衡器。

  6. 選擇 Save changes (儲存變更)

    系統會為您新增至負載平衡器的任何新可用區域啟用端點服務。新的可用區域會列在 端點服務負載平衡器 索引標籤和詳細資訊索引標籤下。

為端點服務啟用可用區域後,服務取用者可以從該可用區域將子網路新增至其介面 VPC 端點。

使用命令列管理端點服務的負載平衡器

若要在最近為負載平衡器啟用的可用區域中啟用端點服務,只需使用端點服務的 ID 呼叫 命令即可。

關聯私有 DNS 名稱

您可以將私有 DNS 名稱與您的端點服務建立關聯。在關聯私有 DNS 名稱之後,您必須在您的 DNS 伺服器上更新網域項目。在服務消費者使用私有 DNS 名稱之前,服務提供者必須確認他們擁有該網域。如需詳細資訊,請參閱管理 DNS 名稱

使用主控台修改端點服務私有 DNS 名稱
  1. https://console.aws.amazon.com/vpc/ 開啟 Amazon VPC 主控台。

  2. 在導覽窗格中,選擇 Endpoints Services (端點服務)

  3. 選取端點服務。

  4. 選擇 Actions (動作)、Modify private DNS name (修改私有 DNS 名稱)。

  5. 選取 Associate a private DNS name with the serivce (將私有 DNS 名稱與服務建立關聯),並輸入私有 DNS 名稱。

    • 網域名稱必須為小寫。

    • 您可以在網域名稱中使用萬用字元 (例如,*.myexampleservice.com)。

  6. 選擇 Save changes (儲存變更)。

  7. 當驗證狀態為 verified (已驗證) 時,私有 DNS 名稱即可供服務消費者使用。如果驗證狀態變更,新的連線請求會遭到拒絕,但現有的連線不受影響。

若要使用命令列修改端點服務私有 DNS 名稱
若要使用主控台來啟動網域驗證程序
  1. https://console.aws.amazon.com/vpc/ 開啟 Amazon VPC 主控台。

  2. 在導覽窗格中,選擇 Endpoints Services (端點服務)

  3. 選取端點服務。

  4. 選擇 Actions (動作)、Verify domain ownership for private DNS name (驗證私有 DNS 名稱的網域所有權)。

  5. 出現確認提示時,請輸入 verify,然後選擇 Verify (確認)

若要使用命令列來啟動網域驗證程序

修改支援的區域

您可以修改端點服務的一組支援區域。您必須先選擇加入,才能新增加入區域。您無法移除託管端點服務的 區域。

移除區域後,服務消費者無法建立新的端點,將其指定為服務區域。移除區域不會影響指定為服務區域的現有端點。當您移除區域時,我們建議您拒絕該區域的任何現有端點連線。

修改端點服務的支援區域
  1. https://console.aws.amazon.com/vpc/ 開啟 Amazon VPC 主控台。

  2. 在導覽窗格中,選擇 Endpoints Services (端點服務)

  3. 選取端點服務。

  4. 選擇動作修改支援的區域

  5. 視需要選取和取消選取區域。

  6. 選擇 Save changes (儲存變更)。

修改支援的 IP 地址類型

您可以變更端點服務支援的 IP 地址類型。

考量事項

若要讓端點服務能夠接受 IPv6 請求,其 Network Load Balancer 必須使用雙堆疊 IP 地址類型。目標不需要支援 IPv6 流量。如需詳細資訊,請參閱《Network Load Balancer 使用者指南》中的 IP 地址類型

若要使用主控台修改支援的 IP 地址
  1. https://console.aws.amazon.com/vpc/ 開啟 Amazon VPC 主控台。

  2. 在導覽窗格中,選擇 Endpoints Services (端點服務)

  3. 選取 VPC 端點服務。

  4. 選擇 Actions (動作)、Modify supported IP address types (修改支援的 IP 地址類型)。

  5. 針對 Supported IP address types (支援的 IP 地址類型),執行下列其中一個操作:

    • 選取 IPv4 - 啟用端點服務以接受 IPv4 請求。

    • 選取 IPv6 - 啟用端點服務以接受 IPv6 請求。

    • 選取 IPv4IPv6 - 啟用端點服務以接受 IPv4 和 IPv6 請求。

  6. 選擇 Save changes (儲存變更)。

使用命令列修改支援的 IP 地址類型

管理標籤

您可標記您的資源,以幫助您根據組織需求來進行識別或分類。

使用主控台為您的端點服務管理標籤
  1. https://console.aws.amazon.com/vpc/ 開啟 Amazon VPC 主控台。

  2. 在導覽窗格中,選擇 Endpoints Services (端點服務)

  3. 選取 VPC 端點服務。

  4. 選擇 Actions (動作)Manage tags (管理標籤)

  5. 針對每個要新增的標籤,請選擇 Add new tag (新增標籤),然後輸入標籤的鍵和值。

  6. 若要移除標籤,請選擇標籤金鑰和值右側的 Remove (移除)。

  7. 選擇 Save (儲存)。

使用主控台為您的端點連線管理標籤
  1. https://console.aws.amazon.com/vpc/ 開啟 Amazon VPC 主控台。

  2. 在導覽窗格中,選擇 Endpoints Services (端點服務)

  3. 選取 VPC 端點服務,然後選擇 Endpoint connections (端點連線) 索引標籤。

  4. 選取端點連線,然後選擇 Actions (動作)Manage tags (管理標籤)

  5. 針對每個要新增的標籤,請選擇 Add new tag (新增標籤),然後輸入標籤的鍵和值。

  6. 若要移除標籤,請選擇標籤金鑰和值右側的 Remove (移除)。

  7. 選擇 Save (儲存)。

使用主控台為您的端點服務許可管理標籤
  1. https://console.aws.amazon.com/vpc/ 開啟 Amazon VPC 主控台。

  2. 在導覽窗格中,選擇 Endpoints Services (端點服務)

  3. 選取 VPC 端點服務,然後選擇 Allow principals (允許主體) 索引標籤。

  4. 選取主體,然後選擇 Actions (動作)Manage tags (管理標籤)

  5. 針對每個要新增的標籤,請選擇 Add new tag (新增標籤),然後輸入標籤的鍵和值。

  6. 若要移除標籤,請選擇標籤金鑰和值右側的 Remove (移除)。

  7. 選擇 Save (儲存)。

若要使用命令列新增和移除標籤