Visualizzazione dei nomi del Servizio AWS disponibili Autorizzazioni e considerazioni Crea un endpoint di interfaccia verso un'altra Servizio AWS regione

Attivata per più regioni Servizi AWS

Quanto segue si Servizi AWS integra con cross Region. AWS PrivateLink Puoi creare un endpoint di interfaccia per connetterti a questi servizi in un'altra AWS regione, in privato, come se fossero in esecuzione nel tuo VPC.

Scegli il link nella Servizio AWScolonna per vedere la documentazione del servizio. La colonna Service name contiene il nome del servizio specificato al momento della creazione dell'endpoint di interfaccia.

Servizio AWS	Nome servizio
Amazon S3	com.amazonaws. `region`.s3
AWS Identity and Access Management (IAM)	com.amazonaws.iam
Amazon ECR	com.amazonaws. `region`.ecr.api
Amazon ECR	com.amazonaws. `region`.ecr.dkr
AWS Key Management Service	com.amazonaws. `region`.kms
AWS Key Management Service	com.amazonaws. `region`.kms-fips
Amazon ECS	com.amazonaws. `region`.ecs
AWS Lambda	com.amazonaws. `region`.lambda
Amazon Data Firehose	com.amazonaws.it. `region`.kinesis-firehose
Servizio gestito da Amazon per Apache Flink	com.amazonaws. `region`.kinesis analytics
Servizio gestito da Amazon per Apache Flink	com.amazonaws. `region`.kinesisanalytics-fips
Amazon Route 53	com.amazonaws.route53

Visualizzazione dei nomi del Servizio AWS disponibili

È possibile utilizzare il comando per visualizzare i servizi abilitati per più regioni. describe-vpc-endpoint-services

L'esempio seguente mostra Servizi AWS che un utente della us-east-1 regione può accedere, tramite gli endpoint dell'interfaccia, alla regione di servizio specificata (us-west-2). L'opzione --query limita l'output ai nomi dei servizi.


aws ec2 describe-vpc-endpoint-services \
  --filters Name=service-type,Values=Interface Name=owner,Values=amazon \ 
  --region us-east-1 \
  --service-region us-west-2 \
  --query ServiceNames

Di seguito è riportato un output di esempio. L'output completo non viene visualizzato.


[
    "com.amazonaws.us-west-2.ecr.api",
    "com.amazonaws.us-west-2.ecr.dkr",
    "com.amazonaws.us-west-2.ecs",
    "com.amazonaws.us-west-2.ecs-fips",
    ...
    "com.amazonaws.us-west-2.s3"
]

Nota

È necessario utilizzare DNS regionali. Il DNS zonale non è supportato quando si accede da un'altra Servizi AWS regione. Per ulteriori informazioni, consulta Visualizza e aggiorna gli attributi DNS nella Amazon VPC User Guide.

Autorizzazioni e considerazioni

Per impostazione predefinita, le entità IAM non dispongono dell'autorizzazione per accedere a un sito Servizio AWS in un'altra regione. Per concedere le autorizzazioni necessarie per l'accesso tra diverse regioni, un amministratore IAM può creare policy IAM che consentano l'azione di vpce:AllowMultiRegion sola autorizzazione.
Assicurati che la tua Service Control Policy (SCP) non neghi le azioni basate solo sulle autorizzazioni. vpce:AllowMultiRegion Per utilizzare la funzionalità AWS PrivateLink di connettività interregionale di cui disponete, sia la vostra politica di identità che il vostro SCP devono consentire questa azione.
Per controllare le regioni che un'entità IAM può specificare come regione di servizio durante la creazione di un endpoint VPC, utilizza la ec2:VpceServiceRegion chiave condition.
Un consumatore di servizi deve aderire a una regione con attivazione prima di selezionarla come regione di servizio per un endpoint. Ove possibile, consigliamo agli utenti del servizio di accedere a un servizio utilizzando la connettività interregionale anziché la connettività interregionale. La connettività intraregionale offre una latenza inferiore e costi inferiori.
Puoi utilizzare la nuova chiave di condizione aws:SourceVpcArn globale di IAM per proteggere da quali regioni Account AWS e risorse è possibile VPCs accedere alle tue risorse. Questa chiave aiuta a implementare la residenza dei dati e il controllo degli accessi basato sulla regione.
Per un'elevata disponibilità, crea un endpoint di interfaccia abilitato per più regioni in almeno due zone di disponibilità. In questo caso, i fornitori e i consumatori non sono tenuti a utilizzare le stesse zone di disponibilità.
Grazie all'accesso interregionale, AWS PrivateLink gestisce il failover tra le zone di disponibilità sia nelle aree di servizio che in quelle di consumo. Non gestisce il failover tra le regioni.
L'accesso interregionale non è supportato per le seguenti zone di disponibilità:use1-az3,usw1-az2, apne1-az3apne2-az2, eapne2-az4.
È possibile utilizzarlo AWS Fault Injection Service per simulare eventi regionali e modellare scenari di errore per endpoint di interfaccia abilitati a livello regionale e interregionale. Per ulteriori informazioni, consulta la documentazione.AWS FIS

Crea un endpoint di interfaccia verso un'altra Servizio AWS regione

Per creare un endpoint di interfaccia utilizzando la Console, consulta la sezione Creare un endpoint VPC.

Nella CLI, puoi utilizzare il create-vpc-endpointcomando per creare un endpoint VPC in una Servizio AWS regione diversa. L'esempio seguente crea un endpoint di interfaccia verso Amazon S3 us-west-2 da un ingresso VPC. us-east-1


aws ec2 create-vpc-endpoint \
  --vpc-id vpc-id \ 
  --service-name com.amazonaws.us-west-2.s3 \
  --vpc-endpoint-type Interface \
  --subnet-ids subnet-id-1 subnet-id-2 \ 
  --region us-east-1 \
  --service-region us-west-2

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Servizi integrati

Creazione di un endpoint di interfaccia