Verfügbare AWS-Service -Namen anzeigen Berechtigungen und Überlegungen Erstellen Sie einen Schnittstellenendpunkt zu einer AWS-Service in einer anderen Region

Regionsübergreifend aktiviert AWS-Services

Die folgenden AWS-Services lassen sich regionsübergreifend integrieren. AWS PrivateLink Sie können einen Schnittstellenendpunkt erstellen, um privat eine Verbindung zu diesen Diensten in einer anderen AWS Region herzustellen, als ob sie in Ihrer eigenen VPC ausgeführt würden.

Wählen Sie den Link in der AWS-ServiceSpalte, um die Servicedokumentation aufzurufen. Die Spalte Dienstname enthält den Dienstnamen, den Sie bei der Erstellung des Schnittstellenendpunkts angeben.

AWS-Service	Service-Name
Amazon S3	com.amazonaws. `region`. 3
AWS Identity and Access Management (ICH BIN)	com.amazonaws.iam
Amazon ECR	com.amazonaws. `region`.ecr.api
Amazon ECR	com.amazonaws. `region`.ecr.dkr
AWS Key Management Service	com.amazonaws. `region`. km
AWS Key Management Service	com.amazonaws. `region`.kms-fips
Amazon ECS	com.amazonaws. `region`.ecs
AWS Lambda	com.amazonaws. `region`. Lambda
Amazon Data Firehose	com.amazonaws. `region`.kinesis-Feuerwehrhose
Amazon Managed Service für Apache Flink	com.amazonaws. `region`.kinesisanalytics
Amazon Managed Service für Apache Flink	com.amazonaws. `region`.kinesisanalytics-fips
Amazon Route 53	com.amazonaws.route53

Verfügbare AWS-Service -Namen anzeigen

Sie können den describe-vpc-endpoint-servicesBefehl verwenden, um regionsübergreifende Dienste anzuzeigen.

Das folgende Beispiel zeigt AWS-Services , wie ein Benutzer in der us-east-1 Region über Schnittstellenendpunkte auf die angegebene (us-west-2) Dienstregion zugreifen kann. Die Option --query beschränkt die Ausgabe auf die Servicenamen.


aws ec2 describe-vpc-endpoint-services \
  --filters Name=service-type,Values=Interface Name=owner,Values=amazon \ 
  --region us-east-1 \
  --service-region us-west-2 \
  --query ServiceNames

Es folgt eine Beispielausgabe. Die vollständige Ausgabe wird nicht angezeigt.


[
    "com.amazonaws.us-west-2.ecr.api",
    "com.amazonaws.us-west-2.ecr.dkr",
    "com.amazonaws.us-west-2.ecs",
    "com.amazonaws.us-west-2.ecs-fips",
    ...
    "com.amazonaws.us-west-2.s3"
]

Anmerkung

Sie müssen regionales DNS verwenden. Zonales DNS wird beim Zugriff AWS-Services in einer anderen Region nicht unterstützt. Weitere Informationen finden Sie unter DNS-Attribute anzeigen und aktualisieren im Amazon VPC-Benutzerhandbuch.

Berechtigungen und Überlegungen

Standardmäßig sind IAM-Entitäten nicht berechtigt, auf eine AWS-Service in einer anderen Region zuzugreifen. Um die für den regionsübergreifenden Zugriff erforderlichen Berechtigungen zu gewähren, kann ein IAM-Administrator IAM-Richtlinien erstellen, die diese Aktion nur mit Zugriffsrechten zulassen. vpce:AllowMultiRegion
Stellen Sie sicher, dass Ihre Service Control Policy (SCP) keine Aktion verweigert, die nur auf Berechtigungen beschränkt ist. vpce:AllowMultiRegion Um die Funktion für AWS PrivateLink regionsübergreifende Konnektivität nutzen zu können, müssen sowohl Ihre Identitätsrichtlinie als auch Ihr SCP diese Aktion zulassen.
Verwenden Sie den ec2:VpceServiceRegion Bedingungsschlüssel, um die Regionen zu steuern, die eine IAM-Entität beim Erstellen eines VPC-Endpunkts als Dienstregion angeben kann.
Ein Servicenutzer muss sich für eine Opt-in-Region entscheiden, bevor er sie als Service-Region für einen Endpunkt auswählen kann. Wann immer möglich, empfehlen wir, dass Servicenutzer über regionsinterne Konnektivität statt über regionsübergreifende Konnektivität auf einen Dienst zugreifen. Die Konnektivität innerhalb der Region sorgt für eine geringere Latenz und geringere Kosten.
Sie können den neuen aws:SourceVpcArn globalen Bedingungsschlüssel von IAM verwenden, um zu sichern, aus welchen Regionen AWS-Konten und auf VPCs Ihre Ressourcen zugegriffen werden kann. Dieser Schlüssel hilft bei der Implementierung der Datenresidenz und der regionsbasierten Zugriffskontrolle.
Für eine hohe Verfügbarkeit sollten Sie einen regionsübergreifenden Schnittstellenendpunkt in mindestens zwei Availability Zones einrichten. In diesem Fall müssen Anbieter und Verbraucher nicht dieselben Availability Zones verwenden.
AWS PrivateLink Verwaltet mit regionsübergreifendem Zugriff den Failover zwischen Availability Zones sowohl in Service- als auch in Kundenregionen. Es verwaltet kein regionsübergreifendes Failover.
Der regionsübergreifende Zugriff wird für die folgenden Availability Zones nicht unterstützt: use1-az3usw1-az2,apne1-az3,apne2-az2, undapne2-az4.
Sie können AWS Fault Injection Service damit regionale Ereignisse simulieren und Ausfallszenarien für regionsinterne und regionsübergreifende Schnittstellenendpunkte modellieren. Weitere Informationen finden Sie in der Dokumentation.AWS FIS

Erstellen Sie einen Schnittstellenendpunkt zu einer AWS-Service in einer anderen Region

Informationen zum Erstellen eines Schnittstellenendpunkts mithilfe der Konsole finden Sie im Abschnitt VPC-Endpunkt erstellen.

In der CLI können Sie den create-vpc-endpointBefehl verwenden, um einen VPC-Endpunkt für eine AWS-Service in einer anderen Region zu erstellen. Im folgenden Beispiel wird us-west-2 von einem VPC-Eingang ein Schnittstellenendpunkt zu Amazon S3 erstellt. us-east-1


aws ec2 create-vpc-endpoint \
  --vpc-id vpc-id \ 
  --service-name com.amazonaws.us-west-2.s3 \
  --vpc-endpoint-type Interface \
  --subnet-ids subnet-id-1 subnet-id-2 \ 
  --region us-east-1 \
  --service-region us-west-2

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Services, die integrieren

Erstellen eines Schnittstellenendpunkts