Voir les noms Service AWS disponibles Autorisations et considérations Création d'un point de terminaison d'interface vers un point Service AWS situé dans une autre région

Interrégional activé Services AWS

Les éléments suivants Services AWS s'intègrent à toutes les régions AWS PrivateLink. Vous pouvez créer un point de terminaison d'interface pour vous connecter à ces services dans une autre AWS région, en privé, comme s'ils s'exécutaient dans votre propre VPC.

Cliquez sur le lien dans la Service AWScolonne pour accéder à la documentation du service. La colonne Nom du service contient le nom du service que vous spécifiez lorsque vous créez le point de terminaison de l'interface.

Service AWS	Nom du service
Amazon S3	com.amazonaws. `region`.s3
AWS Identity and Access Management (JE SUIS)	com.amazonaws.iam
Amazon ECR	com.amazonaws. `region`.ecr.api
Amazon ECR	com.amazonaws. `region`.ecr .dkr
AWS Key Management Service	com.amazonaws. `region`.km
AWS Key Management Service	com.amazonaws. `region`.kms-fips
Amazon ECS	com.amazonaws. `region`.ecs
AWS Lambda	com.amazonaws. `region`.lambda
Amazon Data Firehose	com.amazonaws. `region`.kinesis-firehose
Service géré Amazon pour Apache Flink	com.amazonaws. `region`.kinesis analytics
Service géré Amazon pour Apache Flink	com.amazonaws. `region`.kinesisanalytics-fips
Amazon Route 53	com.amazonaws.route53

Voir les noms Service AWS disponibles

Vous pouvez utiliser la describe-vpc-endpoint-servicescommande pour afficher les services compatibles entre les régions.

L'exemple suivant montre la région à Services AWS laquelle un utilisateur de la us-east-1 région peut accéder via les points de terminaison de l'interface, à la région de service spécifiée (us-west-2). L'option --query limite la sortie aux noms de services.


aws ec2 describe-vpc-endpoint-services \
  --filters Name=service-type,Values=Interface Name=owner,Values=amazon \ 
  --region us-east-1 \
  --service-region us-west-2 \
  --query ServiceNames

Voici un exemple de sortie. La sortie complète n'est pas affichée.


[
    "com.amazonaws.us-west-2.ecr.api",
    "com.amazonaws.us-west-2.ecr.dkr",
    "com.amazonaws.us-west-2.ecs",
    "com.amazonaws.us-west-2.ecs-fips",
    ...
    "com.amazonaws.us-west-2.s3"
]

Note

Vous devez utiliser le DNS régional. Le DNS zonal n'est pas pris en charge lors de l'accès Services AWS dans une autre région. Pour plus d'informations, consultez Afficher et mettre à jour les attributs DNS dans le guide de l'utilisateur Amazon VPC.

Autorisations et considérations

Par défaut, les entités IAM ne sont pas autorisées à accéder à un Service AWS dans une autre région. Pour accorder les autorisations requises pour l'accès entre régions, un administrateur IAM peut créer des politiques IAM qui autorisent l'action avec vpce:AllowMultiRegion autorisation uniquement.
Assurez-vous que votre politique de contrôle des services (SCP) ne refuse pas les actions basées uniquement sur des vpce:AllowMultiRegion autorisations. Pour utiliser AWS PrivateLink la fonctionnalité de connectivité entre régions, votre politique d'identité et votre SCP doivent autoriser cette action.
Pour contrôler les régions qu'une entité IAM peut spécifier en tant que région de service lors de la création d'un point de terminaison VPC, utilisez ec2:VpceServiceRegion la clé de condition.
Un consommateur de services doit choisir une région optionnelle avant de la sélectionner comme région de service pour un terminal. Dans la mesure du possible, nous recommandons aux consommateurs d'accéder à un service en utilisant la connectivité intra-régionale plutôt que la connectivité interrégionale. La connectivité intra-régionale permet de réduire le temps de latence et les coûts.
Vous pouvez utiliser la nouvelle clé de condition aws:SourceVpcArn globale d'IAM pour sécuriser les régions Comptes AWS et VPCs les ressources à partir desquelles vous pouvez accéder. Cette clé permet de mettre en œuvre la résidence des données et le contrôle d'accès basé sur les régions.
Pour une haute disponibilité, créez un point de terminaison d'interface compatible avec plusieurs régions dans au moins deux zones de disponibilité. Dans ce cas, les fournisseurs et les consommateurs ne sont pas tenus d'utiliser les mêmes zones de disponibilité.
Avec un accès interrégional, AWS PrivateLink gère le basculement entre les zones de disponibilité dans les régions de service et de consommation. Il ne gère pas le basculement entre les régions.
L'accès entre régions n'est pas pris en charge pour les zones de disponibilité suivantes : use1-az3 usw1-az2apne1-az3,apne2-az2,, etapne2-az4.
Vous pouvez l'utiliser AWS Fault Injection Service pour simuler des événements régionaux et modéliser des scénarios de défaillance pour les points de terminaison d'interface intégrés ou interrégionaux. Pour en savoir plus, consultez AWS FIS la documentation.

Création d'un point de terminaison d'interface vers un point Service AWS situé dans une autre région

Pour créer un point de terminaison d'interface à l'aide de la console, consultez la section Créer un point de terminaison VPC.

Dans la CLI, vous pouvez utiliser la create-vpc-endpointcommande pour créer un point de terminaison VPC Service AWS dans une autre région. L'exemple suivant crée un point de terminaison d'interface vers Amazon S3 à us-west-2 partir d'un VPC en entrée. us-east-1


aws ec2 create-vpc-endpoint \
  --vpc-id vpc-id \ 
  --service-name com.amazonaws.us-west-2.s3 \
  --vpc-endpoint-type Interface \
  --subnet-ids subnet-id-1 subnet-id-2 \ 
  --region us-east-1 \
  --service-region us-west-2

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Services qui s'intègrent

Création d’un point de terminaison d’interface