Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Condividi i tuoi servizi tramite AWS PrivateLink
Puoi ospitare il tuo servizio AWS PrivateLink personalizzato, noto come *servizio endpoint*, e condividerlo con altri AWS clienti.
**Topics**
+ [Panoramica di](#endpoint-service-overview)
+ [Hostname DNS](#endpoint-service-dns-hostnames)
+ [DNS privato](#endpoint-service-private-dns)
+ [Sottoreti e zone di disponibilità](#endpoint-service-subnets-zones)
+ [Accesso a più regioni](#endpoint-service-cross-region)
+ [Tipi di indirizzi IP](#endpoint-service-ip-address-type)
+ [Creazione di un servizio endpoint](create-endpoint-service.md)
+ [Configurazione di servizio endpoint](configure-endpoint-service.md)
+ [Gestione dei nomi DNS](manage-dns-names.md)
+ [Ricezione di avvisi per gli eventi relativi al servizio endpoint](create-notification-endpoint-service.md)
+ [Eliminazione di un servizio endpoint](delete-endpoint-service.md)
## Panoramica di
Il diagramma seguente mostra come condividere il servizio ospitato AWS con altri AWS clienti e come questi clienti si connettono al servizio. In qualità di provider di servizi, crea un Network Load Balancer nel tuo VPC come front-end del servizio. Seleziona quindi il load balancer durante la configurazione del servizio endpoint VPC. Concedi l'autorizzazione a principali AWS specifici in modo che possano connettersi al servizio. In qualità di utente del servizio, il consumatore crea un endpoint VPC dell'interfaccia che stabilisce connessioni tra le sottoreti selezionate dal proprio VPC e il servizio endpoint. Il load balancer riceve le richieste dagli utenti del servizio e le instrada alle destinazioni che lo ospitano.
![\[Gli utenti del servizio si connettono ai servizi endpoint ospitati dai provider di servizi.\]](http://docs.aws.amazon.com/it_it/vpc/latest/privatelink/images/endpoint-services.png)
Per una bassa latenza e una disponibilità elevata, consigliamo di rendere il servizio disponibile in almeno due zone di disponibilità.
## Hostname DNS
Quando un provider di servizi crea un servizio endpoint VPC, AWS genera un nome host DNS specifico dell'endpoint per il servizio. Questi nomi sono caratterizzati dalla sintassi seguente:
```
endpoint_service_id.region.vpce.amazonaws.com
```
Di seguito è riportato un esempio di un nome host DNS per un servizio endpoint VPC nella regione us-est-2:
```
vpce-svc-071afff70666e61e0.us-east-2.vpce.amazonaws.com
```
Quando un utente del servizio crea un endpoint VPC dell'interfaccia, vengono generati i nomi DNS regionali e zonali che l'utente può utilizzare per comunicare con il servizio endpoint. I nomi regionali sono caratterizzati dalla sintassi seguente:
```
endpoint_id.endpoint_service_id.service_region.vpce.amazonaws.com
```
I nomi zonali sono caratterizzati dalla sintassi seguente:
```
endpoint_id-endpoint_zone.endpoint_service_id.service_region.vpce.amazonaws.com
```
## DNS privato
Un provider di servizi può inoltre associare un nome DNS privato al proprio servizio endpoint, in modo che gli utenti del servizio possano continuare ad accedere al servizio utilizzando il nome DNS esistente. Se un provider di servizi associa un nome DNS privato al servizio endpoint, gli utenti del servizio possono abilitare i nomi DNS privati per gli endpoint di interfaccia. Se un provider di servizi non abilita il DNS privato, gli utenti del servizio potrebbero dover aggiornare le proprie applicazioni per utilizzare il nome DNS pubblico del servizio endpoint VPC. Per ulteriori informazioni, consulta [Gestione dei nomi DNS](manage-dns-names.md).
## Sottoreti e zone di disponibilità
Il servizio endpoint è disponibile nelle zone di disponibilità abilitate per il Network Load Balancer. Per un'elevata disponibilità e resilienza, ti consigliamo di abilitare il sistema di bilanciamento del carico in almeno due zone di disponibilità, distribuire istanze EC2 in ciascuna zona abilitata e registrare queste istanze con il gruppo target del sistema di bilanciamento del carico.
Puoi abilitare il bilanciamento del carico tra zone come alternativa all'hosting del servizio endpoint in più zone di disponibilità. Tuttavia, i consumatori perderanno l'accesso al servizio endpoint da entrambe le zone in caso di guasto della zona che ospita il servizio endpoint. Tieni inoltre presente che quando abiliti il bilanciamento del carico tra zone per un Network Load Balancer, vengono applicati i costi di trasferimento dati EC2.
Il consumatore può creare endpoint VPC di interfaccia nelle zone di disponibilità in cui è disponibile il servizio endpoint. Creiamo un'interfaccia di rete endpoint in ogni sottorete configurata dal consumatore per l'endpoint VPC. Vengono assegnati indirizzi IP a ogni interfaccia di rete dell'endpoint dalla relativa sottorete, in base al tipo di indirizzo IP dell'endpoint VPC. Quando una richiesta utilizza l'endpoint regionale per il servizio endpoint VPC, selezioniamo un'interfaccia di rete endpoint sana, utilizzando l'algoritmo round robin per alternare le interfacce di rete in diverse zone di disponibilità. Quindi trasferiamo il traffico verso l'indirizzo IP dell'interfaccia di rete dell'endpoint selezionata.
Il consumatore può utilizzare gli endpoint zonali per l'endpoint VPC se per il suo caso d'uso è preferibile mantenere il traffico nella stessa zona di disponibilità.
## Accesso a più regioni
Un provider di servizi può ospitare un servizio in una regione e renderlo disponibile in una serie di regioni supportate. Un consumatore di servizi seleziona una regione di servizio durante la creazione di un endpoint.
**Permissions**
+ Per impostazione predefinita, le entità IAM non sono autorizzate a rendere disponibile un servizio endpoint in più regioni o ad accedere a un servizio endpoint in più regioni. Per concedere le autorizzazioni necessarie per l'accesso tra diverse regioni, un amministratore IAM può creare policy IAM che consentano l'azione basata solo sulle autorizzazioni. `vpce:AllowMultiRegion`
+ Per controllare le regioni che un'entità IAM può specificare come regione supportata durante la creazione di un servizio endpoint, utilizza la chiave condition. `ec2:VpceSupportedRegion`
+ Per controllare le regioni che un'entità IAM può specificare come regione di servizio durante la creazione di un endpoint VPC, utilizza la `ec2:VpceServiceRegion` chiave condition.
**Considerazioni**
+ Un provider di servizi deve aderire a una regione con consenso esplicito prima di aggiungerla come regione supportata per un servizio endpoint.
+ Il servizio endpoint deve essere accessibile dalla regione ospitante. Non puoi rimuovere la regione host dal set di regioni supportate. Per motivi di ridondanza, puoi distribuire il servizio endpoint in più regioni e abilitare l'accesso interregionale per ogni servizio endpoint.
+ Un consumatore di servizi deve aderire a una regione opzionale prima di selezionarla come regione di servizio per un endpoint. Quando possibile, consigliamo agli utenti del servizio di accedere a un servizio utilizzando la connettività interregionale anziché la connettività interregionale. La connettività intraregionale offre una latenza inferiore e costi inferiori.
+ Se un fornitore di servizi rimuove una regione dal set di regioni supportate, gli utenti del servizio non possono selezionare tale regione come regione di servizio quando creano nuovi endpoint. Tieni presente che ciò non influisce sull'accesso al servizio endpoint dagli endpoint esistenti che utilizzano questa regione come regione del servizio.
+ Per un'elevata disponibilità, i provider devono utilizzare almeno due zone di disponibilità. L'accesso tra regioni non richiede che fornitori e consumatori utilizzino le stesse zone di disponibilità.
+ L'accesso tra regioni non è supportato per le seguenti zone di disponibilità:`use1-az3`,, `usw1-az2` `apne1-az3``apne2-az2`, e. `apne2-az4`
+ Con l'accesso interregionale, AWS PrivateLink gestisce il failover tra zone di disponibilità. Non gestisce il failover tra regioni.
+ L'accesso tra regioni non è supportato per i Network Load Balancer con un valore personalizzato configurato per il timeout di inattività TCP.
+ L'accesso tra regioni non è supportato con la frammentazione UDP.
+ L'accesso tra regioni è supportato solo per i servizi tramite cui condividi. AWS PrivateLink
## Tipi di indirizzi IP
I provider di servizi possono rendere disponibili i propri endpoint di servizio agli utenti del servizio tramite o entrambi IPv4 e IPv4 IPv6 IPv6, anche se i loro server di backend supportano solo il supporto. IPv4 Se abiliti il supporto dualstack, i consumatori esistenti possono continuare a utilizzarlo per accedere IPv4 al tuo servizio e i nuovi consumatori possono scegliere di utilizzare IPv6 per accedere al tuo servizio.
Se l'interfaccia è supportata da un endpoint VPC IPv4, le interfacce di rete degli endpoint dispongono di indirizzi. IPv4 Se l'interfaccia è supportata da un endpoint VPC IPv6, le interfacce di rete degli endpoint dispongono di indirizzi. IPv6 L' IPv6 indirizzo per un'interfaccia di rete endpoint non è raggiungibile da Internet. Se descrivi un'interfaccia di rete endpoint con un IPv6 indirizzo, nota che è abilitata. `denyAllIgwTraffic`
**Requisiti per l'attivazione IPv6 di un servizio endpoint**
+ Il VPC e le sottoreti per il servizio endpoint devono avere blocchi CIDR associati. IPv6
+ Tutti i Network Load Balancer per il servizio endpoint devono utilizzare il tipo di indirizzo IP dualstack. Non è necessario che gli obiettivi supportino il traffico. IPv6 Se il servizio elabora gli indirizzi IP di origine dall'intestazione del protocollo proxy versione 2, deve elaborare IPv6 gli indirizzi.
**Requisiti da abilitare IPv6 per un endpoint di interfaccia**
+ Il servizio endpoint deve supportare IPv6 le richieste.
+ Il tipo di indirizzo IP di un endpoint dell'interfaccia deve essere compatibile con le sottoreti dell'endpoint dell'interfaccia, come descritto di seguito:
+ **IPv4**— Assegna IPv4 indirizzi alle interfacce di rete degli endpoint. Questa opzione è supportata solo se tutte le sottoreti selezionate hanno intervalli di indirizzi. IPv4
+ **IPv6**— Assegna IPv6 indirizzi alle interfacce di rete degli endpoint. Questa opzione è supportata solo se tutte le sottoreti selezionate sono solo sottoreti. IPv6
+ **Dualstack**: assegna entrambi IPv4 gli indirizzi alle interfacce di rete degli endpoint. IPv6 Questa opzione è supportata solo se tutte le sottoreti selezionate hanno entrambi gli intervalli di indirizzi. IPv4 IPv6
**Tipo di indirizzo IP del record DNS per un endpoint dell'interfaccia**
Il tipo di indirizzo IP del record DNS supportato da un endpoint dell'interfaccia determina i record DNS creati. Il tipo di indirizzo IP del record DNS di un endpoint dell'interfaccia deve essere compatibile con il tipo di indirizzo IP dell'endpoint dell'interfaccia, come descritto di seguito:
+ **IPv4**— Crea record A per i nomi DNS privati, regionali e zonali. **Il tipo di indirizzo IP deve essere **IPv4**o Dualstack.**
+ **IPv6**— Crea record AAAA per i nomi DNS privati, regionali e zonali. **Il tipo di indirizzo IP deve essere **IPv6**o Dualstack.**
+ **Dualstack**: consente di creare record A e AAAA per i nomi DNS privati, regionali e zonali. Il tipo di indirizzo IP deve essere **Dualstack**.
# Crea un servizio fornito da AWS PrivateLink
È possibile creare il proprio servizio basato su AWS PrivateLink, noto come servizio *endpoint*. Tu sei il provider di servizi e i principali AWS che creano connessioni al servizio sono gli utenti del servizio.
I servizi endpoint richiedono un Network Load Balancer o un Gateway Load Balancer. Il load balancer riceve le richieste dagli utenti del servizio e le instrada al servizio. In questo caso, creerai un servizio endpoint utilizzando un Network Load Balancer. Per ulteriori informazioni sulla creazione di un servizio endpoint utilizzando un Gateway Load Balancer, consulta la pagina [Accesso alle appliance virtuali](vpce-gateway-load-balancer.md).
**Topics**
+ [Considerazioni](#considerations-endpoint-services)
+ [Prerequisiti](#prerequisites-endpoint-services)
+ [Creazione di un servizio endpoint](#create-endpoint-service-nlb)
+ [Rendi il servizio endpoint disponibile agli utenti del servizio](#share-endpoint-service)
+ [Connessione a un servizio endpoint in qualità di utente del servizio](#connect-to-endpoint-service)
## Considerazioni
+ Un servizio endpoint è disponibile nella regione in cui è stato creato. I consumatori possono accedere al tuo servizio da altre regioni se abiliti [l'accesso tra regioni o se utilizzano il peering VPC o un gateway di transito](privatelink-share-your-services.md#endpoint-service-cross-region).
+ Quando gli utenti del servizio recuperano le informazioni relative a un servizio endpoint, possono visualizzare solo le zone di disponibilità in comune con il provider di servizi. Se il provider di servizi e l'utente si trovano in account diversi, un nome della zona di disponibilità, ad esempio `us-east-1a`, potrebbe essere mappato a una zona di disponibilità fisica diversa in ciascun Account AWS. Puoi utilizzare AZ IDs per identificare in modo coerente le zone di disponibilità per il tuo servizio. Per ulteriori informazioni, consulta [AZ IDs](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-regions-availability-zones.html#az-ids) nella *Amazon EC2 User* Guide.
+ Quando gli utenti del servizio inviano traffico al servizio attraverso un endpoint dell'interfaccia, gli indirizzi IP di origine forniti all'applicazione sono gli indirizzi IP privati dei nodi load balancer e non gli indirizzi IP degli utenti del servizio. Se abiliti il protocollo proxy sul load balancer, puoi ottenere gli indirizzi dei consumatori del servizio e gli endpoint IDs dell'interfaccia dall'intestazione del protocollo proxy. Per ulteriori informazioni, vedere [Proxy Protocol](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/load-balancer-target-groups.html#proxy-protocol) nel *Manuale dell'utente per Network Load Balancers*.
+ Un Network Load Balancer può essere associato a un singolo servizio endpoint, ma un servizio endpoint può essere associato a più Network Load Balancer.
+ Se un servizio endpoint è associato a molteplici Network Load Balancer, ogni endpoint dell'interfaccia di rete è associato a un sistema di bilanciamento del carico. Quando viene avviata la prima connessione da un'interfaccia di rete endpoint, selezioniamo a caso uno dei Network Load Balancer nella stessa zona di disponibilità dell'interfaccia di rete dell'endpoint. Tutte le richieste di connessione successive da questa interfaccia di rete endpoint utilizzano il sistema di bilanciamento del carico selezionato. Consigliamo di utilizzare la stessa configurazione di ascoltatore e gruppo di destinazione per tutti i sistemi di bilanciamento del carico per un servizio endpoint, in modo che i consumatori possano utilizzare il servizio endpoint con successo indipendentemente dal sistema di bilanciamento del carico scelto.
+ Le tue risorse sono soggette a quote. AWS PrivateLink Per ulteriori informazioni, consulta [AWS PrivateLink quote](vpc-limits-endpoints.md).
## Prerequisiti
+ Creare un VPC per il servizio endpoint con almeno una sottorete in ogni zona di disponibilità in cui il servizio deve essere disponibile.
+ Per consentire agli utenti del servizio di creare endpoint VPC di IPv6 interfaccia per il servizio endpoint, il VPC e le sottoreti devono avere blocchi CIDR associati. IPv6
+ Creare un Network Load Balancer nel VPC. Seleziona una sottorete per la zona di disponibilità in cui il servizio deve essere reso disponibile agli utenti. Per una bassa latenza e la tolleranza ai guasti, consigliamo di rendere il servizio disponibile in almeno due zone di disponibilità della regione.
+ Se il Network Load Balancer dispone di un gruppo di sicurezza, deve consentire il traffico in entrata dagli indirizzi IP dei client. In alternativa, puoi disattivare la valutazione delle regole dei gruppi di sicurezza in entrata per il traffico in transito. AWS PrivateLink Per ulteriori informazioni, consulta [Gruppi di sicurezza](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/load-balancer-security-groups.html) nella *Guida per l'utente di Network Load Balancers*.
+ Per consentire al servizio endpoint di accettare IPv6 le richieste, i suoi Network Load Balancer devono utilizzare il tipo di indirizzo IP dualstack. Non è necessario che gli obiettivi supportino il traffico. IPv6 Per ulteriori informazioni, consulta la sezione [Tipo di indirizzo IP](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/network-load-balancers.html#ip-address-type) nella *Guida per l'utente di Network Load Balancer*.
Se elaborate gli indirizzi IP di origine dall'intestazione del protocollo proxy versione 2, verificate di poter elaborare IPv6 gli indirizzi.
+ Avviare le istanze in ogni zona di disponibilità in cui il servizio deve essere disponibile e registrale con un gruppo di destinazione del load balancer. Se non si avviano le istanze in tutte le zone di disponibilità abilitate, è possibile attivare un load balancer su più zone per supportare gli utenti del servizio che utilizzano i nomi host DNS zonali per accedervi. Quando abiliti il load balancer su più zone, si applicano i costi di trasferimento dei dati a livello regionale. Per ulteriori informazioni, consulta [Bilanciamento del carico tra zone nella *Guida per l'utente di Network* Load Balancers](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/network-load-balancers.html#cross-zone-load-balancing).
## Creazione di un servizio endpoint
Utilizza la procedura seguente per creare un servizio endpoint utilizzando un Network Load Balancer.
**Per creare un servizio endpoint tramite la console**
1. Apri la console Amazon VPC all'indirizzo [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Nel pannello di navigazione scegli **Endpoint Services** (Servizi endpoint).
1. Scegli **Create Endpoint Service** (Crea servizio endpoint).
1. Per **Load balancer type** (Tipo di load balancer), scegli **Network** (Rete).
1. In **Available load balancers (load balancer disponibili)**, selezionare i Network Load Balancers da associare al servizio endpoint. **Per visualizzare le zone di disponibilità abilitate per il sistema di bilanciamento del carico selezionato, consulta **Dettagli dei sistemi di bilanciamento del carico selezionati, Zone di** disponibilità incluse.** Il servizio endpoint sarà disponibile in queste zone di disponibilità.
1. (Facoltativo) Per rendere disponibile il servizio endpoint in regioni diverse dalla regione in cui è ospitato, seleziona le regioni tra le Regioni di **servizio**. Per ulteriori informazioni, consulta [Accesso a più regioni](privatelink-share-your-services.md#endpoint-service-cross-region).
1. In **Require acceptance for endpoint** (Richiedi accettazione per l'endpoint), seleziona **Acceptance required** (Accettazione richiesta) per richiedere l'accettazione manuale delle richieste di connessione al servizio endpoint. In caso contrario, queste richieste vengono accettate automaticamente.
1. In **Enable private DNS** (Abilita nomi DNS privati), seleziona **Associate a private DNS name with the service** (Associa un nome DNS privato al servizio) per associare un nome DNS privato al servizio e consentire l'accesso agli utenti, quindi immetti il nome DNS privato. Altrimenti, gli utenti del servizio possono utilizzare il nome DNS specifico dell'endpoint fornito da. AWS Il provider di servizi deve dimostrare di essere il proprietario del dominio prima che gli utenti possano utilizzare il nome DNS privato. Per ulteriori informazioni, consulta [Gestione dei nomi DNS](manage-dns-names.md).
1. Per **Supported IP address types** (Tipi di indirizzo IP supportati), esegui una delle operazioni seguenti:
+ Seleziona **IPv4**: abilita il servizio endpoint ad accettare le richieste. IPv4
+ Seleziona **IPv6**: abilita il servizio endpoint ad accettare IPv6 le richieste.
+ Seleziona **IPv4**e **IPv6**: abilita il servizio endpoint ad accettare entrambe IPv4 le IPv6 richieste.
1. (Facoltativo) Per aggiungere un tag, scegliere **Add new tag (Aggiungi nuovo tag)** e immettere la chiave e il valore del tag.
1. Scegli **Create** (Crea).
**Per creare un servizio endpoint utilizzando la riga di comando**
+ [create-vpc-endpoint-service-configurazione (](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-vpc-endpoint-service-configuration.html))AWS CLI
+ [New-EC2VpcEndpointServiceConfiguration](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2VpcEndpointServiceConfiguration.html)(Strumenti per Windows PowerShell)
## Rendi il servizio endpoint disponibile agli utenti del servizio
AWS i responsabili possono connettersi al servizio endpoint in modo privato creando un endpoint VPC di interfaccia. Per mettere a disposizione i propri servizi agli utenti, i provider devono eseguire le operazioni seguenti.
+ Aggiungere le autorizzazioni che consentono a ciascun utente del servizio di connettersi al servizio endpoint. Per ulteriori informazioni, consulta [Gestione delle autorizzazioni](configure-endpoint-service.md#add-remove-permissions).
+ Fornire all'utente del servizio il nome del servizio e le zone di disponibilità supportate in modo che possa creare un endpoint dell'interfaccia per connettersi al servizio. Per ulteriori informazioni, consulta [Connessione a un servizio endpoint in qualità di utente del servizio](#connect-to-endpoint-service).
+ Accettare la richiesta di connessione all'endpoint inviata dall'utente del servizio. Per ulteriori informazioni, consulta [Accettare o rifiutare le richieste di connessione](configure-endpoint-service.md#accept-reject-connection-requests).
## Connessione a un servizio endpoint in qualità di utente del servizio
Un utente del servizio utilizza la procedura seguente per creare un endpoint dell'interfaccia per connettersi al servizio endpoint.
**Per creare un endpoint dell'interfaccia mediante la console**
1. Apri la console Amazon VPC all'indirizzo [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Nel pannello di navigazione, seleziona **Endpoints (Endpoint)**.
1. Seleziona **Crea endpoint**.
1. Per **Tipo**, scegli i servizi **Endpoint** che utilizzano e. NLBs GWLBs
1. Per **Nome servizio**, inserisci il nome del servizio (ad esempio,`com.amazonaws.vpce.us-east-1.vpce-svc-0e123abc123198abc`), quindi scegli **Verifica servizio**.
1. (Facoltativo) Per connetterti a un servizio endpoint disponibile in una regione diversa da quella dell'endpoint, seleziona Area del **servizio**, **Abilita endpoint interregionale, quindi seleziona la regione**. Per ulteriori informazioni, consulta [Accesso a più regioni](privatelink-share-your-services.md#endpoint-service-cross-region).
1. Per **VPC**, seleziona il VPC da cui accederai al servizio endpoint.
1. Per **Subnet, seleziona le sottoreti** in cui creare interfacce di rete endpoint.
1. Per **IP address type** (Tipo di indirizzo IP), seleziona una delle opzioni seguenti:
+ **IPv4**— Assegna IPv4 indirizzi alle interfacce di rete degli endpoint. Questa opzione è supportata solo se tutte le sottoreti selezionate hanno intervalli di IPv4 indirizzi e il servizio endpoint accetta le richieste. IPv4
+ **IPv6**— Assegna IPv6 indirizzi alle interfacce di rete degli endpoint. Questa opzione è supportata solo se tutte le sottoreti selezionate sono IPv6 solo sottoreti e il servizio endpoint accetta le richieste. IPv6
+ **Dualstack**: assegna entrambi gli indirizzi E alle interfacce di rete degli endpoint. IPv4 IPv6 Questa opzione è supportata solo se tutte le sottoreti selezionate hanno entrambi intervalli di IPv6 indirizzi IPv4 e il servizio endpoint accetta entrambe le richieste. IPv4 IPv6
1. Per **DNS record IP type** (Tipo di IP record DNS), seleziona una delle opzioni seguenti:
+ **IPv4**— Crea record A per i nomi DNS privati, regionali e zonali. **Il tipo di indirizzo IP deve essere **IPv4**o Dualstack.**
+ **IPv6**— Crea record AAAA per i nomi DNS privati, regionali e zonali. **Il tipo di indirizzo IP deve essere **IPv6**o Dualstack.**
+ **Dualstack**: consente di creare record A e AAAA per i nomi DNS privati, regionali e zonali. Il tipo di indirizzo IP deve essere **Dualstack**.
+ **Servizio definito**: consente di creare record A per i nomi DNS privati, regionali e zonali e record AAAA per i nomi DNS regionali e zonali. Il tipo di indirizzo IP deve essere **Dualstack**.
1. In **Security group (Gruppo di sicurezza)**, selezionare i gruppi di sicurezza da associare alle interfacce di rete dell'endpoint.
1. Seleziona **Crea endpoint**.
**Per creare un endpoint dell'interfaccia mediante la riga di comando**
+ [create-vpc-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-vpc-endpoint.html) (AWS CLI)
+ [New-EC2VpcEndpoint](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2VpcEndpoint.html)(Strumenti per Windows) PowerShell
# Configurazione di servizio endpoint
Dopo aver creato un servizio endpoint, puoi aggiornarne la configurazione.
**Topics**
+ [Gestione delle autorizzazioni](#add-remove-permissions)
+ [Accettare o rifiutare le richieste di connessione](#accept-reject-connection-requests)
+ [Gestisci i sistemi di bilanciamento del carico](#associate-load-balancer)
+ [Associazione di un nome DNS privato](#associate-private-dns-name)
+ [Modifica le regioni supportate](#manage-supported-regions)
+ [Modifica dei tipi di indirizzo IP supportati](#supported-ip-address-types)
+ [Gestione dei tag](#add-remove-endpoint-service-tags)
## Gestione delle autorizzazioni
La combinazione di autorizzazioni e impostazioni di accettazione consente di controllare quali consumatori (AWS responsabili) del servizio possono accedere al servizio endpoint. Ad esempio, puoi concedere autorizzazioni a principali specifici che ritieni affidabili e accettare automaticamente tutte le richieste di connessione oppure concedere autorizzazioni a un gruppo più ampio di principali e accettare manualmente specifiche richieste di connessione che ritieni affidabili.
Per impostazione predefinita, il servizio endpoint non è disponibile per gli utenti del servizio. È necessario aggiungere autorizzazioni che consentano a AWS responsabili specifici di creare un endpoint VPC di interfaccia per connettersi al servizio endpoint. Per aggiungere le autorizzazioni per un AWS principale, è necessario il relativo Amazon Resource Name (ARN). L'elenco seguente include esempi ARNs di principali supportati AWS .ARNs per i presidi AWS
Account AWS (include tutti i principali dell'account)
arn:aws:iam: :root *account\$1id*
Ruolo
arn:aws:iam: :ruolo/ *account\$1id* *role\$1name*
Utente
arn:aws:iam: :user/ *account\$1id* *user\$1name*
Tutti i principi in tutto Account AWS
\$1
**Considerazioni**
+ Se concedi a tutti gli utenti l'autorizzazione ad accedere al servizio endpoint e lo configuri in modo da accettare tutte le richieste, il load balancer sarà pubblico anche se non dispone di un indirizzo IP pubblico.
+ Se rimuovi le autorizzazioni, ciò non influirà sulle connessioni esistenti tra l'endpoint e il servizio che erano state precedentemente accettate.
**Gestione delle autorizzazioni per il servizio endpoint tramite la console**
1. Apri la console Amazon VPC all'indirizzo [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Nel pannello di navigazione scegli **Endpoint Services** (Servizi endpoint).
1. Seleziona il servizio endpoint e scegli la scheda **Allow principals** (Consenti principali).
1. Per aggiungere le autorizzazioni, scegli **Allow principals** (Consenti principali). In **Principals to add** (Entità principali da aggiungere), immetti l'ARN del principale. Per aggiungere un altro principale, scegliere **Add principal (Aggiungi principale)**. Una volta completata l'aggiunta di principali, scegli **Allow principals** (Consenti principali).
1. Per rimuovere le autorizzazioni, seleziona il principale e scegli **Actions** (Operazioni), **Delete** (Elimina). Quando viene richiesta la conferma, immettere **delete** e quindi scegliere **Elimina**.
**Per aggiungere le autorizzazioni per il servizio endpoint mediante la riga di comando**
+ [modify-vpc-endpoint-service-permessi](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpc-endpoint-service-permissions.html) ()AWS CLI
+ [Edit-EC2EndpointServicePermission](https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2EndpointServicePermission.html)(Strumenti per Windows) PowerShell
## Accettare o rifiutare le richieste di connessione
La combinazione di autorizzazioni e impostazioni di accettazione consente di controllare quali consumatori (AWS responsabili) del servizio possono accedere al servizio endpoint. Ad esempio, puoi concedere autorizzazioni a principali specifici che ritieni affidabili e accettare automaticamente tutte le richieste di connessione oppure concedere autorizzazioni a un gruppo più ampio di principali e accettare manualmente specifiche richieste di connessione che ritieni affidabili.
Puoi configurare il servizio endpoint per accettare automaticamente le richieste di connessione. In caso contrario, è necessario accettarle o rifiutarle manualmente. Se non accetti una richiesta di connessione, l'utente del servizio non potrà accedere al servizio endpoint.
Se concedi a tutti gli utenti l'autorizzazione ad accedere al servizio endpoint e lo configuri in modo da accettare tutte le richieste, il load balancer sarà pubblico anche se non dispone di un indirizzo IP pubblico.
Puoi scegliere di ricevere una notifica nel momento in cui una richiesta di connessione viene accettata o rifiutata. Per ulteriori informazioni, consulta [Ricezione di avvisi per gli eventi relativi al servizio endpoint](create-notification-endpoint-service.md).
**Per modificare l'impostazione di accettazione tramite la console**
1. Apri la console Amazon VPC all'indirizzo [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Nel pannello di navigazione scegli **Endpoint Services** (Servizi endpoint).
1. Selezionare il servizio endpoint.
1. Selezionare **Actions (Operazioni)**, **Modify endpoint acceptance setting (Modifica impostazione di accettazione Endpoint)**.
1. Seleziona o deseleziona l'opzione **Acceptance required** (Accettazione richiesta).
1. Scegli **Save changes** (Salva modifiche).
**Per modificare l'impostazione di accettazione tramite la riga di comando**
+ [modify-vpc-endpoint-service-configurazione ()](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpc-endpoint-service-configuration.html)AWS CLI
+ [Edit-EC2VpcEndpointServiceConfiguration](https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2VpcEndpointServiceConfiguration.html)(Strumenti per Windows PowerShell)
**Per accettare o rifiutare una richiesta di connessione tramite la console**
1. Apri la console Amazon VPC all'indirizzo [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Nel pannello di navigazione scegli **Endpoint Services** (Servizi endpoint).
1. Selezionare il servizio endpoint.
1. Dalla scheda **Endpoint connections** (Connessioni endpoint), seleziona la connessione endpoint.
1. Per accettare la richiesta di connessione, scegli **Actions** (Operazioni), **Accept endpoint connection request** (Accetta richiesta di connessione endpoint). Quando viene richiesta la conferma, immetti **accept** e seleziona **Accept** (Accetta).
1. Per rifiutare la richiesta di connessione, scegliere **Operazioni**, **Rifiuta la richiesta di connessione endpoint**. Quando viene richiesta la conferma, immetti **reject** e seleziona **Reject** (Rifiuta).
**Per accettare o rifiutare una richiesta di connessione tramite la riga di comando**
+ [accept-vpc-endpoint-connections](https://docs.aws.amazon.com/cli/latest/reference/ec2/accept-vpc-endpoint-connections.html)o [reject-vpc-endpoint-connections](https://docs.aws.amazon.com/cli/latest/reference/ec2/reject-vpc-endpoint-connections.html)(AWS CLI)
+ [Approve-EC2EndpointConnection](https://docs.aws.amazon.com/powershell/latest/reference/items/Approve-EC2EndpointConnection.html)o [Deny-EC2EndpointConnection](https://docs.aws.amazon.com/powershell/latest/reference/items/Deny-EC2EndpointConnection.html)(Strumenti per Windows PowerShell)
## Gestisci i sistemi di bilanciamento del carico
Puoi gestire i load balancer associati al tuo servizio endpoint. Tuttavia, non puoi dissociare un load balancer se vi sono endpoint collegati al servizio endpoint.
**Se abiliti un'altra zona di disponibilità per i tuoi sistemi di bilanciamento del carico, la zona di disponibilità verrà visualizzata nella scheda **Load Balancer della pagina dei servizi** Endpoint.** Tuttavia, non sarà abilitata per il servizio endpoint né elencata nella scheda **Dettagli** del servizio endpoint su. Console di gestione AWSÈ necessario abilitare il servizio endpoint per la nuova zona di disponibilità.
Potrebbero essere necessari alcuni minuti prima che la zona di disponibilità del sistema di bilanciamento del carico sia pronta per il servizio endpoint. Se utilizzi un'automazione, ti consigliamo di aggiungere un'attesa al processo di automazione prima di abilitare il servizio endpoint per la nuova zona di disponibilità.
**Per gestire i sistemi di bilanciamento del carico per il servizio endpoint utilizzando la console**
1. Apri la console Amazon VPC all'indirizzo [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Nel pannello di navigazione scegli **Endpoint Services** (Servizi endpoint).
1. Selezionare il servizio endpoint.
1. Seleziona **Actions** (Operazioni), **Associate or disassociate load balancers** (Associa o dissocia i bilanciatori del carico).
1. Modifica la configurazione del servizio endpoint in base alle esigenze. Esempio:
+ Seleziona la casella di controllo relativa a un load balancer per associarlo al servizio endpoint.
+ Deseleziona la casella di controllo relativa a un sistema di bilanciamento del carico per dissociarlo dal servizio endpoint. È necessario mantenere selezionato almeno un sistema di bilanciamento del carico.
1. Scegliere **Salva modifiche**.
Il servizio endpoint verrà abilitato per tutte le nuove zone di disponibilità aggiunte al sistema di bilanciamento del carico. La nuova zona di disponibilità è elencata nella scheda **Load Balancers** e nella scheda **Dettagli del servizio endpoint**.
Dopo aver abilitato una zona di disponibilità per il servizio endpoint, i consumatori del servizio possono aggiungere una sottorete da quella zona di disponibilità agli endpoint VPC di interfaccia.
**Per gestire i sistemi di bilanciamento del carico per il servizio endpoint utilizzando la riga di comando**
+ [modify-vpc-endpoint-service-configurazione ()](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpc-endpoint-service-configuration.html)AWS CLI
+ [Edit-EC2VpcEndpointServiceConfiguration](https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2VpcEndpointServiceConfiguration.html)(Strumenti per Windows PowerShell)
Per abilitare il servizio endpoint in una zona di disponibilità che è stata recentemente abilitata per il load balancer, è sufficiente chiamare il comando con l'ID del servizio endpoint.
## Associazione di un nome DNS privato
Puoi associare un nome DNS privato al servizio endpoint. Dopo aver eseguito questa operazione, devi aggiornare la voce del dominio sul server DNS. Il provider di servizi deve dimostrare di essere il proprietario del dominio prima che gli utenti possano utilizzare il nome DNS privato. Per ulteriori informazioni, consulta [Gestione dei nomi DNS](manage-dns-names.md).
**Per modificare un nome DNS privato del servizio endpoint utilizzando la console**
1. Apri la console Amazon VPC all'indirizzo [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Nel pannello di navigazione scegli **Endpoint Services** (Servizi endpoint).
1. Selezionare il servizio endpoint.
1. Scegli **Actions** (Operazioni), **Modify Private DNS names** (Modifica nomi DNS privati).
1. Seleziona **Associate a private DNS name with the service** (Associa un nome DNS privato al servizio) e immetti il nome DNS privato.
+ I nomi di dominio devono utilizzare lettere minuscole.
+ Puoi usare caratteri jolly nei nomi di dominio (ad esempio, **\$1.myexampleservice.com**).
1. Scegli **Save changes** (Salva modifiche).
1. Gli utenti del servizio possono utilizzare il nome DNS privato quando lo stato della verifica è **verificato**. Se lo stato della verifica cambia, le nuove richieste di connessione vengono rifiutate, senza tuttavia influenzare quelle esistenti.
**Per modificare un nome DNS privato del servizio endpoint utilizzando la riga di comando**
+ [modify-vpc-endpoint-service-configurazione ()](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpc-endpoint-service-configuration.html)AWS CLI
+ [Edit-EC2VpcEndpointServiceConfiguration](https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2VpcEndpointServiceConfiguration.html)(Strumenti per Windows PowerShell)
**Per avviare il processo di verifica del dominio utilizzando la console**
1. Apri la console Amazon VPC all'indirizzo [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Nel pannello di navigazione scegli **Endpoint Services** (Servizi endpoint).
1. Selezionare il servizio endpoint.
1. Scegli **Actions** (Operazioni),**Verify domain ownership for private DNS name** (Verifica la proprietà del dominio per il nome DNS privato).
1. Quando viene richiesta la conferma, immettere **verify** e selezionare **Verify (Verifica)**.
**Per avviare il processo di verifica del dominio utilizzando la riga di comando**
+ [start-vpc-endpoint-service-private-dns-verification](https://docs.aws.amazon.com/cli/latest/reference/ec2/start-vpc-endpoint-service-private-dns-verification.html) (AWS CLI)
+ [Start-EC2VpcEndpointServicePrivateDnsVerification](https://docs.aws.amazon.com/powershell/latest/reference/items/Start-EC2VpcEndpointServicePrivateDnsVerification.html)(Strumenti per Windows PowerShell)
## Modifica le regioni supportate
Puoi modificare il set di regioni supportate per il tuo servizio endpoint. Prima di poter aggiungere una regione opt-in, è necessario effettuare l'attivazione. Non puoi rimuovere la regione che ospita il tuo servizio endpoint.
Dopo aver rimosso una regione, gli utenti del servizio non possono creare nuovi endpoint che la specifichino come regione del servizio. La rimozione di una regione non influisce sugli endpoint esistenti che la specificano come regione di servizio. Quando rimuovi una regione, ti consigliamo di rifiutare tutte le connessioni endpoint esistenti da quella regione.
**Per modificare le regioni supportate per il servizio endpoint**
1. Apri la console Amazon VPC all'indirizzo [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Nel pannello di navigazione scegli **Endpoint Services** (Servizi endpoint).
1. Selezionare il servizio endpoint.
1. Scegli **Azioni**, **Modifica regioni supportate**.
1. Seleziona e deseleziona le regioni in base alle esigenze.
1. Scegli **Save changes** (Salva modifiche).
## Modifica dei tipi di indirizzo IP supportati
Puoi modificare i tipi di indirizzo IP supportati dal servizio endpoint.
**Considerazione**
Per consentire al servizio endpoint di accettare IPv6 le richieste, i suoi Network Load Balancer devono utilizzare il tipo di indirizzo IP dualstack. Non è necessario che gli obiettivi supportino il traffico. IPv6 Per ulteriori informazioni, consulta la sezione [Tipo di indirizzo IP](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/network-load-balancers.html#ip-address-type) nella *Guida per l'utente di Network Load Balancer*.
**Per modificare i tipi di indirizzi IP supportati mediante la console**
1. Apri la console Amazon VPC all'indirizzo [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Nel pannello di navigazione scegli **Endpoint Services** (Servizi endpoint).
1. Seleziona il servizio endpoint VPC.
1. Scegli **Actions** (Operazioni), **Modify supported IP address types** (Modifica i tipi di indirizzo IP supportati).
1. Per **Supported IP address types** (Tipi di indirizzo IP supportati), esegui una delle operazioni seguenti:
+ Seleziona **IPv4**: abilita il servizio endpoint ad accettare IPv4 le richieste.
+ Seleziona **IPv6**: abilita il servizio endpoint ad accettare IPv6 le richieste.
+ Seleziona **IPv4**e **IPv6**: abilita il servizio endpoint ad accettare entrambe IPv4 le IPv6 richieste.
1. Scegli **Save changes** (Salva modifiche).
**Per modificare i tipi di indirizzi IP supportati mediante la riga di comando**
+ [modify-vpc-endpoint-service-configurazione (](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpc-endpoint-service-configuration.html))AWS CLI
+ [Edit-EC2VpcEndpointServiceConfiguration](https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2VpcEndpointServiceConfiguration.html)(Strumenti per Windows PowerShell)
## Gestione dei tag
Puoi aggiungere un tag alle risorse per identificarle o classificarle in base alle esigenze dell'organizzazione.
**Gestione dei tag per il servizio endpoint tramite la console**
1. Apri la console Amazon VPC all'indirizzo [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Nel pannello di navigazione scegli **Endpoint Services** (Servizi endpoint).
1. Seleziona il servizio endpoint VPC.
1. Scegliere **Actions (Operazioni)**, **Manage tags (Gestisci tag)**.
1. Per ogni tag da aggiungere, seleziona **Add new tag** (Aggiungi nuovo tag) e immetti la chiave e il valore per il tag.
1. Per rimuovere un tag, scegli **Remove** (Rimuovi) a destra della chiave e del valore del tag.
1. Scegli **Save** (Salva).
**Gestione dei tag per le connessioni degli endpoint tramite la console**
1. Apri la console Amazon VPC all'indirizzo [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Nel pannello di navigazione scegli **Endpoint Services** (Servizi endpoint).
1. Seleziona il servizio dell'endpoint VPC e scegli la scheda **Endpoint connections** (Connessioni endpoint).
1. Seleziona la connessione all'endpoint, quindi scegli **Actions** (Operazioni), **Manage tags** (Gestisci tag).
1. Per ogni tag da aggiungere, seleziona **Add new tag** (Aggiungi nuovo tag) e immetti la chiave e il valore per il tag.
1. Per rimuovere un tag, scegli **Remove** (Rimuovi) a destra della chiave e del valore del tag.
1. Scegli **Save** (Salva).
**Aggiunta di tag per le autorizzazioni del servizio endpoint tramite la console**
1. Apri la console Amazon VPC all'indirizzo [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Nel pannello di navigazione scegli **Endpoint Services** (Servizi endpoint).
1. Seleziona il servizio dell'endpoint VPC e sceglie la scheda **Allow principals** (Consenti principali).
1. Seleziona il principale, quindi scegli **Actions** (Operazioni), **Manage tags** (Gestisci tag).
1. Per ogni tag da aggiungere, seleziona **Add new tag** (Aggiungi nuovo tag) e immetti la chiave e il valore per il tag.
1. Per rimuovere un tag, scegli **Remove** (Rimuovi) a destra della chiave e del valore del tag.
1. Scegli **Save** (Salva).
**Per aggiungere e rimuovere i tag utilizzando la riga di comando**
+ [create-tags](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-tags.html) e [delete-tags](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-tags.html) (AWS CLI)
+ [New-EC2Tag](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2Tag.html)e [Remove-EC2Tag](https://docs.aws.amazon.com/powershell/latest/reference/items/Remove-EC2Tag.html)(Strumenti per Windows PowerShell)
# Gestione dei nomi DNS per i servizi endpoint VPC
I provider di servizi possono configurare i nomi DNS privati per i propri servizi endpoint. Supponiamo che un fornitore di servizi renda disponibile il proprio servizio tramite un endpoint pubblico e come servizio endpoint. Se il fornitore di servizi utilizza il nome DNS dell'endpoint pubblico come nome DNS privato del servizio endpoint, gli utenti del servizio possono accedere all'endpoint pubblico o al servizio endpoint utilizzando la stessa applicazione client, senza modifiche. Se una richiesta proviene dal VPC del consumatore del servizio, i server DNS privati risolvono il nome DNS negli indirizzi IP delle interfacce di rete degli endpoint. Altrimenti, i server DNS pubblici risolvono il nome DNS nell'endpoint pubblico.
Prima di poter configurare un nome DNS privato per il servizio endpoint, devi dimostrare di essere il proprietario del dominio eseguendo una verifica della proprietà del dominio.
**Considerazioni**
+ Un servizio endpoint può avere un solo nome DNS privato.
+ Quando il consumatore crea un endpoint di interfaccia per connettersi al tuo servizio, creiamo una zona ospitata privata e la associamo al VPC del consumatore del servizio. Creiamo un record CNAME nella zona ospitata privata che mappa il nome DNS privato del servizio endpoint al nome DNS regionale dell'endpoint VPC. Quando un consumatore invia una richiesta al nome DNS pubblico del servizio, i server DNS privati risolvono la richiesta agli indirizzi IP delle interfacce di rete degli endpoint.
+ Per verificare un dominio, è necessario disporre di un nome host pubblico o di un provider DNS pubblico.
+ Puoi verificare il dominio di un sottodominio. Ad esempio, è possibile verificare *example.com*, anziché *a.example.com*. Ogni etichetta DNS può contenere fino a 63 caratteri e l'intero nome di dominio non deve superare la lunghezza totale di 255 caratteri.
Se aggiungi un altro sottodominio, è necessario verificare il sottodominio o il dominio. Ad esempio, supponiamo che hai *a.example.com* e verifichi *example.com*. Ora aggiungi *b.example.com* come nome DNS privato. A questo punto devi verificare *example.com* o *b.example.com* prima che gli utenti possano utilizzare il nome.
+ I nomi DNS privati non sono supportati per gli endpoint Gateway Load Balancer.
## Verifica della proprietà del dominio
Il tuo dominio è associato a un set di record Domain Name System (DNS) gestiti tramite il provider DNS. Un record TXT è un tipo di record DNS che fornisce ulteriori informazioni sul tuo dominio. È formato da un nome e da un valore. Come parte del processo di verifica, devi aggiungere un record TXT al server DNS per il tuo dominio pubblico.
La verifica della proprietà del dominio è completa quando viene rilevata l'esistenza del record TXT nelle impostazioni DNS del dominio.
Dopo aver aggiunto un record, puoi controllare lo stato del processo di verifica del dominio utilizzando la console Amazon VPC. Nel pannello di navigazione scegli **Endpoint Services** (Servizi endpoint). Seleziona il servizio endpoint e controlla il valore di **Domain verification status** (Stato di verifica del dominio) nella scheda **Details** (Dettagli). Se la verifica del dominio è in sospeso, attendi qualche minuto e aggiorna la schermata. Se necessario, puoi avviare il processo di verifica manualmente. Scegli **Actions** (Operazioni),**Verify domain ownership for private DNS name** (Verifica la proprietà del dominio per il nome DNS privato).
Gli utenti del servizio possono utilizzare il nome DNS privato quando lo stato della verifica è **verificato**. Se lo stato della verifica cambia, le nuove richieste di connessione vengono rifiutate, senza tuttavia influenzare quelle esistenti.
Se lo stato della verifica è **failed** (non riuscito), consulta [Risoluzione dei problemi relativi alla verifica del dominio](#troubleshoot-domain-verification).
## Recupero del nome e del valore
Forniamo il nome e il valore da utilizzare nel record TXT. Queste informazioni sono disponibili, ad esempio, nella Console di gestione AWS. Seleziona il servizio endpoint e visualizza il **Domain verification name** (Nome di verifica del dominio) e il **Domain verification value** (Valore di verifica del dominio) nella scheda **Details** (Dettagli) del servizio endpoint. È inoltre possibile utilizzare il seguente AWS CLI comando [describe-vpc-endpoint-service-configurations](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-vpc-endpoint-service-configurations.html) per recuperare informazioni sulla configurazione del nome DNS privato per il servizio endpoint specificato.
```
aws ec2 describe-vpc-endpoint-service-configurations \
--service-ids vpce-svc-071afff70666e61e0 \
--query ServiceConfigurations[*].PrivateDnsNameConfiguration
```
Di seguito è riportato un output di esempio. `Value` e `Name` verranno utilizzati durante la creazione del record TXT.
```
[
{
"State": "pendingVerification",
"Type": "TXT",
"Value": "vpce:l6p0ERxlTt45jevFwOCp",
"Name": "_6e86v84tqgqubxbwii1m"
}
]
```
Si supponga, ad esempio, che il nome di dominio sia *example.com* e che i parametri di `Value` e `Name` siano quelli mostrati nell'output dell'esempio precedente. Nella tabella seguente è riportato un esempio delle impostazioni del record TXT.
| Name | Tipo | Valore |
| --- | --- | --- |
| \$16e86v84tqgqubxbwii1m.example.com | TXT | ERxlvpce:l6p0 TT45jEvfw OCp |
Ti consigliamo di usare `Name` come sottodominio record perché il nome del dominio di base potrebbe essere già in uso. Se il provider DNS, tuttavia, non consente caratteri di sottolineatura per i nomi dei record DNS, è possibile omettere "\$16e86v84tqgqubxbwii1m" e utilizzare semplicemente "example.com" nel record TXT.
Dopo aver verificato "\$16e86v84tqgqubxbwii1m.example.com", gli utenti del servizio possono utilizzare "example.com" o un sottodominio (ad esempio, "service.example.com" o "my.service.example.com").
## Aggiungi un record TXT al server DNS del dominio
La procedura per l'aggiunta di record TXT al server DNS del dominio dipende dal provider del servizio DNS. Il tuo provider DNS potrebbe essere Amazon Route 53 o un altro registrar di nomi di dominio.
### Amazon Route 53
Crea un record per la tua zona ospitata pubblica utilizzando una semplice politica di routing. Utilizzare i seguenti valori:
+ Per **Record name** (Nome record) immetti il dominio o il sottodominio.
+ Per **Record type (Tipo di record)**, scegli **TXT**.
+ Per **Value/Route traffic to** (Valore/Instrada il traffico a), immetti il valore verifica del dominio.
+ Per **TTL (seconds)** (TTL [secondi]), immetti **1800**.
Per maggiori informazioni, consulta [Creazione di registri utilizzando la console](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resource-record-sets-creating.html) nella *Guida per gli sviluppatori Amazon Route 53*.
### Procedura generale
Visita il sito Web del provider DNS e accedi con il tuo account. Trova la pagina per aggiornare i record DNS del dominio. Aggiungi un record TXT con il nome e il valore forniti. Gli aggiornamenti dei record DNS possono richiedere fino a 48 ore, ma spesso diventano effettivi molto più presto.
Per indicazioni più specifiche, consulta la documentazione del provider DNS. La tabella seguente include i collegamenti alla documentazione di vari provider DNS comuni. Questo elenco non è da considerarsi esaustivo e non è da intendersi come una raccomandazione dei prodotti o dei servizi forniti da queste aziende.
| Provider DNS/di hosting | Collegamento alla documentazione |
| --- | --- |
| GoDaddy | [Aggiungi un registro TXT](https://www.godaddy.com/help/add-a-txt-record-19232) |
| Dreamhost | [Adding custom DNS records](https://help.dreamhost.com/hc/en-us/articles/360035516812-Adding-custom-DNS-records) |
| Cloudflare | [Manage DNS records](https://developers.cloudflare.com/dns/manage-dns-records/how-to/create-dns-records/) |
| HostGator | [Gestisci i record DNS con /eNom HostGator](https://www.hostgator.com/help/article/manage-dns-records-with-hostgatorenom) |
| Namecheap | [Come faccio ad aggiungere TXT/SPF/DKIM/DMARC record per il mio dominio?](https://www.namecheap.com/support/knowledgebase/article.aspx/317/2237/how-do-i-add-txtspfdkimdmarc-records-for-my-domain/) |
| Names.co.uk | [Changing your domain's DNS Settings](https://www.names.co.uk/support/articles/changing-your-domains-dns-settings/) |
| Wix | [Adding or Updating TXT Records in Your Wix Account](https://support.wix.com/en/article/adding-or-updating-txt-records-in-your-wix-account) |
## Verifica della pubblicazione del record TXT
Puoi controllare che il record TXT di verifica della proprietà del dominio DNS privato sia stato pubblicato nel server DNS tramite i passaggi seguenti. Eseguirai il **nslookup** comando, disponibile per Windows e Linux.
Dovrai interrogare i server DNS che servono il tuo dominio perché quei server contengono la maggior parte delle up-to-date informazioni relative al tuo dominio. Le informazioni di dominio possono richiedere tempo per la propagazione ad altri server DNS.
**Per verificare che il record TXT sia stato pubblicato nel server DNS**
1. Trova i server dei nomi per il tuo dominio con il comando seguente.
```
nslookup -type=NS example.com
```
Nell'output vengono elencati i server dei nomi utilizzati dal dominio. Nella fase successiva, si eseguirà una query su uno di questi server.
1. Verifica che il record TXT sia pubblicato correttamente utilizzando il seguente comando, dove si *name\$1server* trova uno dei name server che hai trovato nel passaggio precedente.
```
nslookup -type=TXT _6e86v84tqgqubxbwii1m.example.com name_server
```
1. Nell'output della fase precedente, verifica che la stringa dopo `text =` corrisponda al valore TXT.
Nel nostro esempio, se il record è stato pubblicato correttamente, l'output avrà l'aspetto seguente.
```
1. _6e86v84tqgqubxbwii1m.example.com text = "vpce:l6p0ERxlTt45jevFwOCp"
```
## Risoluzione dei problemi relativi alla verifica del dominio
Le informazioni seguenti possono essere utili per risolvere i problemi relativi a un processo di verifica del dominio con esito negativo.
+ Verifica se il provider DNS consente l'uso di caratteri di sottolineatura nei nomi di record TXT. Se il tuo provider DNS non consente l'uso di caratteri di sottolineatura, puoi omettere il nome di verifica del dominio (ad esempio "\$16e86v84tqgqubxbwii1m") dal record TXT.
+ Verifica se il provider DNS ha aggiunto il nome di dominio alla fine del record TXT. Alcuni provider DNS aggiungono automaticamente il nome del dominio al nome dell'attributo del record TXT. Per evitare la duplicazione del nome di dominio, puoi aggiungere un punto alla fine del nome di dominio che hai creato nel record TXT. Questa operazione indica al tuo provider DNS che non è necessario aggiungere il nome di dominio al record TXT.
+ Verifica se il provider DNS ha modificato il valore del record DNS in modo da utilizzare solo lettere minuscole. Verifichiamo il tuo dominio solo quando esiste un record di verifica con un valore di attributo che corrisponde esattamente al valore che abbiamo fornito. Se il provider DNS ha modificato i valori dei record TXT in modo da utilizzare solo lettere minuscole, contattalo per assistenza.
+ Potrebbe essere necessario verificare più volte il dominio, dal momento che supporta molteplici regioni o Account AWS. Se il provider DNS non consente di avere più record TXT con lo stesso nome di attributo, verifica la possibilità di assegnare più valori di attributo per lo stesso record TXT. Ad esempio, se il tuo DNS è gestito da Amazon Route 53, puoi utilizzare la procedura seguente.
1. Nella console Route 53, seleziona il record TXT creato al momento della verifica del dominio nella prima regione.
1. Per **Value** (Valore), vai alla fine del valore di attributo esistente e quindi premi Invio.
1. Aggiungi il valore di attributo per la regione aggiuntiva e salva il set di record.
Se il provider DNS non consente di assegnare più valori per lo stesso record TXT, puoi verificare il dominio una volta con il valore nel nome di attributo del record TXT e un'altra volta con il valore rimosso dal nome di attributo. Tuttavia, puoi verificare lo stesso dominio solo due volte.
# Ricezione di avvisi per gli eventi relativi al servizio endpoint
Puoi creare una notifica per ricevere avvisi per eventi specifici relativi al servizio endpoint. Ad esempio, puoi ricevere un'e-mail nel momento in cui una richiesta di connessione viene accettata o rifiutata.
**Topics**
+ [Creare una notifica SNS](#create-sns-notification-endpoint-service)
+ [Aggiungere una policy di accesso](#add-access-policy-endpoint-service)
+ [Aggiungere una policy della chiave](#add-key-policy-endpoint-service)
## Creare una notifica SNS
Usa la procedura seguente per creare un argomento Amazon SNS per le notifiche e iscriverti all'argomento.
**Per creare una notifica per un servizio endpoint utilizzando la console**
1. Apri la console Amazon VPC all'indirizzo [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Nel pannello di navigazione scegli **Endpoint Services** (Servizi endpoint).
1. Selezionare il servizio endpoint.
1. Nella scheda **Notifications** (Notifiche), scegli **Create notification** (Crea notifica).
1. In **Notification ARN** (ARN della notifica), scegli l'ARN per l'argomento SNS creato.
1. Per iscriverti a un evento, selezionalo da **Events** (Eventi).
+ **Connect** (Connetti): l'utente del servizio ha creato l'endpoint dell'interfaccia. Questa operazione invia una richiesta di connessione al provider di servizi.
+ **Accept** (Accetta): il provider di servizi ha accettato la richiesta di connessione.
+ **Reject** (Rifiuta): il provider di servizi ha rifiutato la richiesta di connessione.
+ **Delete** (Elimina): l'utente del servizio ha eliminato l'endpoint dell'interfaccia.
1. Selezionare **Create Notification (Crea notifica)**.
**Per creare una notifica per un servizio endpoint utilizzando la riga di comando**
+ [create-vpc-endpoint-connection-notifica (](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-vpc-endpoint-connection-notification.html))AWS CLI
+ [New-EC2VpcEndpointConnectionNotification](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2VpcEndpointConnectionNotification.html)(Strumenti per Windows PowerShell)
## Aggiungere una policy di accesso
Aggiungi una politica di accesso all'argomento SNS che AWS PrivateLink consenta di pubblicare notifiche per tuo conto, come la seguente. Per ulteriori informazioni, consulta [Come modifico la policy di accesso dell'argomento di Amazon SNS?](https://repost.aws/knowledge-center/sns-edit-topic-access-policy) Utilizza le chiavi di condizione globali `aws:SourceArn` e `aws:SourceAccount` per evitare il [problema del "confused deputy"](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "vpce.amazonaws.com"
},
"Action": "SNS:Publish",
"Resource": "arn:aws:sns:us-east-1:111111111111:topic-name",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:ec2:us-east-1:111111111111:vpc-endpoint-service/service-id"
},
"StringEquals": {
"aws:SourceAccount": "111111111111"
}
}
}
]
}
```
------
## Aggiungere una policy della chiave
Se utilizzi argomenti SNS crittografati, la politica delle risorse per la chiave KMS deve essere affidabile per AWS PrivateLink chiamare AWS KMS le operazioni dell'API. Di seguito è riportato un esempio di policy della chiave.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "vpce.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey*",
"kms:Decrypt"
],
"Resource": "arn:aws:kms:us-east-1:111111111111:key/key-id",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:ec2:us-east-1:111111111111:vpc-endpoint-service/service-id"
},
"StringEquals": {
"aws:SourceAccount": "111111111111"
}
}
}
]
}
```
------
# Eliminazione di un servizio endpoint
Quando un servizio endpoint non è più necessario, è possibile eliminarlo. Non è possibile eliminare un servizio endpoint se a questo sono collegati endpoint con stato `available` o `pending-acceptance`.
L'eliminazione di un servizio endpoint non rimuove il load balancer associato e non influisce sui server dell'applicazione registrati con i gruppi di destinazione del load balancer.
**Per eliminare un servizio endpoint utilizzando la console**
1. Apri la console Amazon VPC all'indirizzo [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Nel pannello di navigazione scegli **Endpoint Services** (Servizi endpoint).
1. Selezionare il servizio endpoint.
1. Selezionare **Actions (Operazioni)**, **Delete endpoint services (Elimina servizi endpoint)**.
1. Quando viene richiesta la conferma, immettere **delete** e quindi scegliere **Elimina**.
**Per eliminare un servizio endpoint utilizzando la riga di comando**
+ [delete-vpc-endpoint-service-configurazioni (](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-vpc-endpoint-service-configurations.html))AWS CLI
+ [Remove-EC2EndpointServiceConfiguration](https://docs.aws.amazon.com/powershell/latest/reference/items/Remove-EC2EndpointServiceConfiguration.html)(Strumenti per Windows) PowerShell