Lihat Layanan AWS nama yang tersedia Izin dan Pertimbangan Buat titik akhir antarmuka ke Layanan AWS Wilayah lain

Lintas wilayah diaktifkan Layanan AWS

Berikut ini Layanan AWS terintegrasi dengan lintas Wilayah AWS PrivateLink. Anda dapat membuat titik akhir antarmuka untuk terhubung ke layanan ini di AWS Wilayah lain, secara pribadi, seolah-olah mereka berjalan di VPC Anda sendiri.

Pilih tautan di Layanan AWSkolom untuk melihat dokumentasi layanan. Kolom Nama layanan berisi nama layanan yang Anda tentukan saat Anda membuat titik akhir antarmuka.

Layanan AWS	Nama layanan
Amazon S3	com.amazonaws. `region`.s3
AWS Identity and Access Management (IAM)	com.amazonaws.iam
Amazon ECR	com.amazonaws. `region`.ecr.api
Amazon ECR	com.amazonaws. `region`.ecr.dkr
AWS Key Management Service	com.amazonaws. `region`.kms
AWS Key Management Service	com.amazonaws. `region`.kms-fips
Amazon ECS	com.amazonaws. `region`.ecs
AWS Lambda	com.amazonaws. `region`.lambda
Amazon Data Firehose	com.amazonaws. `region`.kinesis-firehose
Layanan Dikelola Amazon untuk Apache Flink	com.amazonaws. `region`.kinesisanalytics
Layanan Dikelola Amazon untuk Apache Flink	com.amazonaws. `region`.kinesisanalytics-fips
Amazon Route 53	com.amazonaws.route53

Lihat Layanan AWS nama yang tersedia

Anda dapat menggunakan describe-vpc-endpoint-servicesperintah untuk melihat layanan yang diaktifkan lintas Wilayah.

Contoh berikut menampilkan Layanan AWS bahwa pengguna di us-east-1 Wilayah dapat mengakses melalui titik akhir antarmuka, ke Wilayah layanan (us-west-2) yang ditentukan. --queryOpsi membatasi output ke nama layanan.


aws ec2 describe-vpc-endpoint-services \
  --filters Name=service-type,Values=Interface Name=owner,Values=amazon \ 
  --region us-east-1 \
  --service-region us-west-2 \
  --query ServiceNames

Berikut ini adalah output contoh. Output lengkap tidak ditampilkan.


[
    "com.amazonaws.us-west-2.ecr.api",
    "com.amazonaws.us-west-2.ecr.dkr",
    "com.amazonaws.us-west-2.ecs",
    "com.amazonaws.us-west-2.ecs-fips",
    ...
    "com.amazonaws.us-west-2.s3"
]

catatan

Anda harus menggunakan DNS regional. DNS Zonal tidak didukung saat mengakses Layanan AWS di Wilayah lain. Untuk informasi selengkapnya, lihat Melihat dan memperbarui atribut DNS di Panduan Pengguna Amazon VPC.

Izin dan Pertimbangan

Secara default, entitas IAM tidak memiliki izin untuk mengakses Layanan AWS di Wilayah lain. Untuk memberikan izin yang diperlukan untuk akses lintas Wilayah, administrator IAM dapat membuat kebijakan IAM yang mengizinkan tindakan khusus izin. vpce:AllowMultiRegion
Pastikan Kebijakan Kontrol Layanan (SCP) Anda tidak menolak tindakan hanya vpce:AllowMultiRegion izin. Untuk menggunakan AWS PrivateLink fitur konektivitas lintas wilayah, kebijakan identitas dan SCP Anda harus mengizinkan tindakan ini.
Untuk mengontrol Wilayah yang dapat ditentukan oleh entitas IAM sebagai Wilayah layanan saat membuat titik akhir VPC, gunakan ec2:VpceServiceRegion kunci kondisi.
Konsumen layanan harus memilih masuk ke Wilayah keikutsertaan sebelum memilihnya sebagai Wilayah layanan untuk titik akhir. Jika memungkinkan, kami menyarankan agar konsumen layanan mengakses layanan menggunakan konektivitas intra-wilayah, bukan konektivitas lintas wilayah. Konektivitas Intra-Region memberikan latensi yang lebih rendah dan biaya yang lebih rendah.
Anda dapat menggunakan kunci kondisi aws:SourceVpcArn global IAM yang baru untuk mengamankan Wilayah mana, Akun AWS dan sumber daya VPCs Anda dapat diakses. Kunci ini membantu mengimplementasikan residensi data dan kontrol akses berbasis wilayah.
Untuk ketersediaan tinggi, buat titik akhir antarmuka berkemampuan lintas Wilayah di setidaknya dua Availability Zone. Dalam hal ini, penyedia dan konsumen tidak diharuskan menggunakan Availability Zone yang sama.
Dengan akses lintas Wilayah, AWS PrivateLink mengelola failover antara Availability Zone di Wilayah layanan dan konsumen. Itu tidak mengelola failover di seluruh Wilayah.
Akses Lintas Wilayah tidak didukung untuk Availability Zone berikut: use1-az3usw1-az2,apne1-az3,,apne2-az2, danapne2-az4.
Anda dapat menggunakan AWS Fault Injection Service untuk mensimulasikan peristiwa regional dan memodelkan skenario kegagalan untuk titik akhir antarmuka yang diaktifkan di dalam wilayah dan lintas wilayah. Untuk mempelajari lebih lanjut, lihat AWS FIS dokumentasi.

Buat titik akhir antarmuka ke Layanan AWS Wilayah lain

Untuk membuat titik akhir antarmuka menggunakan Konsol, lihat bagian Buat titik akhir VPC.

Di CLI, Anda dapat menggunakan create-vpc-endpointperintah untuk membuat titik akhir VPC ke Wilayah yang Layanan AWS berbeda. Contoh berikut membuat titik akhir antarmuka ke Amazon S3 dari us-west-2 VPC di. us-east-1


aws ec2 create-vpc-endpoint \
  --vpc-id vpc-id \ 
  --service-name com.amazonaws.us-west-2.s3 \
  --vpc-endpoint-type Interface \
  --subnet-ids subnet-id-1 subnet-id-2 \ 
  --region us-east-1 \
  --service-region us-west-2

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Layanan yang terintegrasi

Membuat sebuah titik akhir antarmuka