View a markdown version of this page

Directory Service API und Schnittstelle Amazon VPC-Endpunkte mit AWS PrivateLink - AWS Directory Service
ÜberlegungenVerfügbarkeitErstellen Sie einen Amazon VPC-Endpunkt mit SchnittstelleErstellen einer Endpunktrichtlinie

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Directory Service API und Schnittstelle Amazon VPC-Endpunkte mit AWS PrivateLink

Sie können AWS PrivateLink damit eine private Verbindung zwischen Ihrer VPC Directory Service und den Directory Service Data APIs herstellen. Auf diese Weise können Sie wie in Ihrer VPC auf Verzeichnisdienst-Daten-APIs zugreifen Directory Service , ohne ein Internet-Gateway, ein NAT-Gerät, eine VPN-Verbindung oder Direct Connect eine Verbindung verwenden zu müssen. Instances in Ihrer Amazon VPC benötigen keine öffentlichen IP-Adressen für den Zugriff Directory Service und keine Directory Service Data-APIs.

Um eine private Verbindung herzustellen, erstellen Sie eine Amazon VPC-Schnittstelle, die mit Strom AWS PrivateLink versorgt wird. Wir erstellen eine Endpunkt-Netzwerkschnittstelle in jedem Subnetz, das Sie für den Schnittstellen-Endpunkt aktivieren. Dabei handelt es sich um vom Anforderer verwaltete Netzwerkschnittstellen, die als Einstiegspunkt für den Datenverkehr dienen, der für AWS Verzeichnisdienstdaten AWS Directory Service bestimmt ist.

Weitere Informationen finden Sie AWS PrivateLink im Handbuch unter Access AWS-Services through.AWS PrivateLink

Überlegungen zu Directory Service und Verzeichnisdienstdaten

Mit Directory Service und Directory Service Data können Sie API-Aktionen über Schnittstellenendpunkte aufrufen. Informationen zu den Voraussetzungen, die Sie berücksichtigen müssen, bevor Sie einen Schnittstellenendpunkt erstellen, finden Sie im AWS PrivateLink Handbuch unter Zugriff und AWS-Service Verwendung eines Amazon VPC-Endpunkts mit einer Schnittstelle.

Directory Service und Verfügbarkeit von Verzeichnisdienst-Daten

Directory Service und Directory Service Data unterstützt Schnittstellenendpunkte überall AWS-Regionen dort, wo sie verfügbar sind. Informationen zu AWS-Regionen dieser Unterstützung Directory Service und zu den Verzeichnisdienstdaten finden Sie unter Verfügbarkeit nach Regionen für Directory Service.

Erstellen Sie eine Amazon VPC-Schnittstelle für Directory Service und Verzeichnisdienstdaten

Sie können mithilfe der Amazon VPC-Konsole oder der AWS Command Line Interface (AWS CLI) einen Schnittstellenendpunkt für Directory Service Verzeichnisdienst-Daten-APIs erstellen.

Beispiel: Directory Service

Erstellen Sie einen Schnittstellenendpunkt für Directory Service APIs mit dem folgenden Servicenamen: 

com.amazonaws.region.ds
Beispiel: Verzeichnisdienstdaten

Erstellen Sie einen Schnittstellenendpunkt für Directory Service Data-APIs mit dem folgenden Dienstnamen: 

com.amazonaws.region.ds-data

Weitere Informationen zum Erstellen eines Schnittstellenendpunkts finden Sie unter Zugreifen und AWS-Service Verwenden eines Amazon VPC-Schnittstellenendpunkts im AWS PrivateLink Handbuch.

Erstellen Sie eine Amazon VPC-Endpunktrichtlinie für Ihre Schnittstelle — Amazon VPC-Endpunkt

Eine Endpunktrichtlinie ist eine IAM-Ressourcenrichtlinie, die Sie an einen Schnittstellenendpunkt anhängen.

Anmerkung

Wenn Sie Ihrem Schnittstellenendpunkt keine Endpunktrichtlinie zuordnen, AWS PrivateLink fügt er Ihrem Schnittstellenendpunkt in Ihrem Namen eine Standard-Endpunktrichtlinie hinzu. Weitere Informationen finden Sie unter AWS PrivateLink -Konzepte.

Eine Endpunktrichtlinie gibt die folgenden Informationen an:

  • Die Principals (AWS-Konten, IAM-Benutzer und IAM-Rollen), die Aktionen ausführen können

  • Aktionen, die ausgeführt werden können

  • Die Ressourcen, auf denen die Aktionen ausgeführt werden können

Weitere Informationen finden Sie unter Steuern des Zugriffs auf Services mit Endpunktrichtlinien im AWS PrivateLink -Leitfaden.

Sie können den Zugriff auf APIs von Ihrer Amazon VPC aus steuern, indem Sie eine benutzerdefinierte Endpunktrichtlinie an Ihren Schnittstellenendpunkt anhängen.

Beispiel: Amazon VPC-Endpunktrichtlinie für Directory Service API-Aktionen

Im Folgenden finden Sie ein Beispiel für eine benutzerdefinierte Endpunktrichtlinie. Wenn Sie diese Richtlinie an Ihren Schnittstellen-Endpunkt anhängen, gewährt sie allen Principals auf allen Ressourcen Zugriff auf die aufgelisteten Directory Service Aktionen.

Ersetzen Sie action-1action-2, und action-3 durch die erforderlichen Berechtigungen für die Directory Service APIs, die Sie in Ihre Richtlinie aufnehmen möchten. Eine vollständige Liste finden Sie unter Directory Service API-Berechtigungen: Referenz zu Aktionen, Ressourcen und Bedingungen. 

{
   "Statement": [
      {
         "Principal": "*",
         "Effect": "Allow",
         "Action": [
            "ds:action-1",
            "ds:action-2",
            "ds:action-3"
         ],
         "Resource":"*"
      }
   ]
}
Beispiel: Amazon VPC-Endpunktrichtlinie für Directory Service Data API-Aktionen

Im Folgenden finden Sie ein Beispiel für eine benutzerdefinierte Endpunktrichtlinie. Wenn Sie diese Richtlinie an Ihren Schnittstellenendpunkt anhängen, gewährt sie allen Prinzipalen auf allen Ressourcen Zugriff auf die aufgelisteten Verzeichnisdienstdatenaktionen.

Ersetzen Sie action-1action-2, und action-3 durch die erforderlichen Berechtigungen für die Directory Service Data-APIs, die Sie in Ihre Richtlinie aufnehmen möchten. Eine vollständige Liste finden Sie unter Directory Service API-Berechtigungen: Referenz zu Aktionen, Ressourcen und Bedingungen. 

{
   "Statement": [
      {
         "Principal": "*",
         "Effect": "Allow",
         "Action": [
            "ds-data:action-1",
            "ds-data:action-2",
            "ds-data:action-3"
         ],
         "Resource":"*"
      }
   ]
}