Ver los nombres de los Servicio de AWS disponibles Permisos y consideraciones Cree un punto final de interfaz con Servicio de AWS uno de otra región

Activado para cruzar regiones Servicios de AWS

Lo siguiente se Servicios de AWS integra con una región cruzada. AWS PrivateLink Puede crear un punto final de interfaz para conectarse a estos servicios en otra AWS región, de forma privada, como si se ejecutaran en su propia VPC.

Elija el enlace de la Servicio de AWScolumna para ver la documentación del servicio. La columna Nombre del servicio contiene el nombre del servicio que se especifica al crear el punto final de la interfaz.

Servicio de AWS	Nombre del servicio
Amazon S3	com.amazonaws. `region`.s3
AWS Identity and Access Management (IAM)	com.amazonaws.iam
Amazon ECR	com.amazonaws. `region`.ecr.api
Amazon ECR	com.amazonaws. `region`.ecr.dkr
AWS Key Management Service	com.amazonaws. `region`.kms
AWS Key Management Service	com.amazonaws. `region`.kms-fips
Amazon ECS	com.amazonaws. `region`.ecs
AWS Lambda	com.amazonaws. `region`.lambda
Amazon Data Firehose	com.amazonaws. `region`.kinesis-firehose
Amazon Managed Service para Apache Flink	com.amazonaws. `region`.kinesisanalítica
Amazon Managed Service para Apache Flink	com.amazonaws. `region`.kinesisanalytics-fips
Amazon Route 53	com.amazonaws.route53

Ver los nombres de los Servicio de AWS disponibles

Puede usar el comando para ver los servicios habilitados para varias regiones describe-vpc-endpoint-services.

El siguiente ejemplo muestra a qué Servicios de AWS puede acceder un usuario de la us-east-1 región a través de los puntos finales de la interfaz, a la región de servicio (us-west-2) especificada. La opción --query limita la salida a los nombres de servicio.


aws ec2 describe-vpc-endpoint-services \
  --filters Name=service-type,Values=Interface Name=owner,Values=amazon \ 
  --region us-east-1 \
  --service-region us-west-2 \
  --query ServiceNames

A continuación, se muestra un ejemplo del resultado. No se muestra el resultado completo.


[
    "com.amazonaws.us-west-2.ecr.api",
    "com.amazonaws.us-west-2.ecr.dkr",
    "com.amazonaws.us-west-2.ecs",
    "com.amazonaws.us-west-2.ecs-fips",
    ...
    "com.amazonaws.us-west-2.s3"
]

nota

Debe utilizar el DNS regional. El DNS zonal no es compatible cuando se accede Servicios de AWS desde otra región. Para obtener más información, consulte Ver y actualizar los atributos de DNS en la Guía del usuario de Amazon VPC.

Permisos y consideraciones

De forma predeterminada, las entidades de IAM no tienen permiso para acceder a ninguna otra Servicio de AWS región. Para conceder los permisos necesarios para el acceso entre regiones, un administrador de IAM puede crear políticas de IAM que permitan la vpce:AllowMultiRegion acción únicamente con permisos.
Asegúrese de que su política de control de servicios (SCP) no deniegue una acción que solo implique permisos. vpce:AllowMultiRegion Para utilizar AWS PrivateLink la función de conectividad entre regiones, tanto su política de identidad como su SCP deben permitir esta acción.
Para controlar las regiones que una entidad de IAM puede especificar como región de servicio al crear un punto de conexión de VPC, se debe utilizar la clave de condición ec2:VpceServiceRegion.
El consumidor del servicio debe optar por una región registrada antes de seleccionarla como la región de servicio para un punto de conexión. Siempre que sea posible, recomendamos que los consumidores de servicios accedan a un servicio mediante la conectividad intrarregional en lugar de la conectividad entre regiones. La conectividad intrarregional proporciona latencia y costos más bajos.
Puede utilizar la nueva clave de condición aws:SourceVpcArn global de IAM para garantizar desde qué regiones Cuentas de AWS y recursos se puede acceder a VPCs sus recursos. Esta clave ayuda a implementar la residencia de los datos y el control de acceso por región.
Para obtener una alta disponibilidad, cree un punto final de interfaz compatible con varias regiones en al menos dos zonas de disponibilidad. En este caso, los proveedores y los consumidores no están obligados a utilizar las mismas zonas de disponibilidad.
Con el acceso entre regiones, AWS PrivateLink gestiona la conmutación por error entre las zonas de disponibilidad tanto en las regiones de servicio como en las de consumo. No administra la conmutación por error en todas las regiones.
El acceso entre regiones no se admite en las siguientes zonas de disponibilidad: use1-az3usw1-az2, apne1-az3apne2-az2, yapne2-az4.
Se puede utilizar AWS Fault Injection Service para simular eventos regionales y modelar escenarios de error para puntos finales de interfaz habilitados dentro y entre regiones. Para obtener más información, consulte la documentación.AWS FIS

Cree un punto final de interfaz con Servicio de AWS uno de otra región

Para crear un punto final de interfaz mediante la consola, consulte la sección Crear un punto final de VPC.

En la CLI, puede usar el create-vpc-endpointcomando para crear un punto final de VPC Servicio de AWS en una región diferente. En el siguiente ejemplo, se crea un punto de enlace de interfaz para Amazon S3 us-west-2 desde una entrada de VPC. us-east-1


aws ec2 create-vpc-endpoint \
  --vpc-id vpc-id \ 
  --service-name com.amazonaws.us-west-2.s3 \
  --vpc-endpoint-type Interface \
  --subnet-ids subnet-id-1 subnet-id-2 \ 
  --region us-east-1 \
  --service-region us-west-2

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Servicios que se integran

Creación de un punto de conexión de interfaz