AWS PrivateLink para Amazon Location - Amazon Location Service
Tipos de endpoint da Amazon VPC para o Amazon Location ServiceConsiderações quando se usa o AWS PrivateLink para Amazon Location ServiceCriar um endpoint de interface para Amazon Location ServiceAcessar as operações de API do Amazon Location direto dos endpoints de interface do Amazon LocationAtualizar uma configuração de DNS on-premisesCriar uma política de endpoint da VPC para o Amazon Location

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

AWS PrivateLink para Amazon Location

Com o AWS PrivateLink para Amazon Location, é possível provisionar endpoints da Amazon VPC de interface (endpoints de interface) em sua nuvem privada virtual (Amazon VPC). Esses endpoints podem ser acessados diretamente por meio da VPN e do Direct Connect pelas aplicações que estão no ambiente on-premises ou por emparelhamento da Amazon VPC pelas aplicações que estão em uma Região da AWS diferente. Usando endpoints de interface e o AWS PrivateLink, é possível simplificar a conectividade de rede privada das aplicações para o Amazon Location.

As aplicações na VPC não necessitam que endereços IP públicos se comuniquem com endpoints da VPC de interface do Amazon Location para operações do Amazon Location. Os endpoints de interface são representados por uma ou mais interfaces de rede elástica (ENIs) que recebem endereços IP privados de sub-redes na Amazon VPC. As solicitações para o Amazon Location por meio de endpoints de interface permanecem na rede da Amazon. Também é possível acessar endpoints de interface na Amazon VPC via aplicações on-premises por meio do Direct Connect ou do AWS Virtual Private Network (Site-to-Site VPN). Para obter mais informações sobre como conectar a Amazon VPC à rede on-premises, consulte o Guia do usuário do Direct Connect e o Guia do usuário do AWS.

Para ter informações gerais sobre endpoints de interface, consulte Interface Amazon VPC endpoints (AWS PrivateLink) no Guia do AWS PrivateLink.

Tipos de endpoint da Amazon VPC para o Amazon Location Service

Você pode usar um tipo de endpoint do Amazon VPC para acessar o Amazon Location Service: endpoints de interface (usando AWS PrivateLink). Os endpoints de interface usam endereços IP privados para rotear solicitações para o Amazon Location de dentro da Amazon VPC, do ambiente on-premises ou de uma Amazon VPC em outra Região da AWS usando emparelhamento do Amazon VPC. Para ter mais informações, consulte What is Amazon VPC peering? em Transit Gateway vs Amazon VPC peering.

Os endpoints de interface são compatíveis com os endpoints de gateway. Se você tiver um endpoint de gateway na Amazon VPC, poderá usar os dois tipos de endpoint na mesma Amazon VPC.

Os endpoint de interface da Amazon Location têm as seguintes propriedades:

  • Em ambos os casos, o tráfego de rede permanece na rede da AWS

  • Usar endereços IP privados da Amazon VPC para acessar o Amazon Location Service

  • Permite o acesso a partir do local

  • Permite o acesso de um endpoint da Amazon VPC em outra Região da AWS usando emparelhamento da Amazon VPC ou AWS Transit Gateway

  • Os endpoints da interface são cobrados

As considerações sobre a Amazon VPC se aplicam ao AWS PrivateLink para Amazon Location Service. Para obter mais informações, consulte Considerações sobre o endpoint de interface e Cotas do AWS PrivateLink no Guia do usuário do AWS PrivateLink. Além disso, aplicam-se as restrições a seguir.

AWS PrivateLink para Amazon Location Service não é compatível com o seguinte:

  • Transport Layer Security (TLS) 1.1

  • Serviços de Sistema de Nomes de Domínio (DNS) privados e híbridos

Endpoints da Amazon VPC:

  • Não oferecem suporte às operações da API de mapas o Amazon Location Service, incluindo:GetGlyphs,GetSprites e GetStyleDescriptor

  • Não são compatíveis com solicitações entre regiões. Assegure-se de crie o endpoint na mesma região em que você planeja emitir as chamadas de API para o Amazon Location Service.

  • Oferecem suporte somente a DNS fornecidos pela Amazon por meio do Amazon Route 53. Se quiser usar seu próprio DNS, poderá usar o encaminhamento de DNS condicional. Para obter mais informações, consulte Conjuntos de Opções de DHCP no Manual do Usuário da Amazon VPC.

  • Devem permitir conexões de entrada na porta 443 na sub-rede privada da VPC por meio do grupo de segurança conectado ao endpoint da VPC

É possível enviar até 50 mil solicitações por segundo para cada endpoint do AWS PrivateLink habilitado.

nota

Os tempos limite de conectividade de rede com os endpoints do AWS PrivateLink não estão dentro do escopo das respostas de erro do Amazon Location e precisam ser tratados adequadamente pelas aplicações que se conectam aos endpoints do AWS PrivateLink.

Criar um endpoint de interface para Amazon Location Service

Você pode criar um endpoint de interface para Amazon Location Service usando o console ou a AWS Command Line Interface (AWS CLI) da Amazon VPC. Para obter mais informações, consulte Criar um endpoint de interface no Guia do usuário do AWS PrivateLink.

Há seis endpoints de VPC diferentes, um para cada recurso oferecido pelo Amazon Location Service.

Categoria Endpoint
Mapas

com.amazonaws.region.geo.maps
Locais

com.amazonaws.region.geo.places
Rotas

com.amazonaws.region.geo.routes
Geocercas

com.amazonaws.region.geo.geofencing
Rastreadores

com.amazonaws.region.geo.tracking
Metadados

com.amazonaws.region.geo.metadata

Por exemplo: 

com.amazonaws.us-east-2.geo.maps

Após criar o endpoint, você tem a opção de habilitar um nome de host DNS privado. Para habilitar, selecione Enable Private DNS Name (Habilitar nome DNS privado) no console da Amazon VPC quando criar o endpoint da VPC.

Se você habilitar o DNS privado para o endpoint da interface, poderá fazer solicitações de API ao Amazon Location Service usando seu próprio nome DNS regional padrão. Os exemplos a seguir mostram o formato dos nomes de DNS regionais padrão.

  • maps.geo.region.amazonaws.com

  • places.geo.region.amazonaws.com

  • routes.geo.region.amazonaws.com

  • tracking.geo.region.amazonaws.com

  • geofencing.geo.region.amazonaws.com

  • metadata.geo.region.amazonaws.com

Os nomes DNS anteriores são para domínios IPv4. Os nomes de DNS IPV6 a seguir também podem ser usados para endpoints de interface.

  • maps.geo.region.api.aws

  • places.geo.region.api.aws

  • routes.geo.region.api.aws

  • tracking.geo.region.api.aws

  • geofencing.geo.region.api.aws

  • metadata.geo.region.api.aws

Acessar as operações de API do Amazon Location direto dos endpoints de interface do Amazon Location

Você pode usar a AWS CLI or SDKs da AWS ou para acessar as operações de API do Amazon Location por meio dos endpoints de interface do Amazon Location.

Exemplo: Criar um endpoint da VPC

aws ec2 create-vpc-endpoint \
--region us-east-1 \
--service-name location-service-name \
--vpc-id client-vpc-id \
--subnet-ids client-subnet-id \
--vpc-endpoint-type Interface \
--security-group-ids client-sg-id

Exemplo: Modificar um endpoint da VPC

aws ec2 modify-vpc-endpoint \
--region us-east-1 \
--vpc-endpoint-id client-vpc-endpoint-id \
--policy-document policy-document \ #example optional parameter
--add-security-group-ids security-group-ids \ #example optional parameter 
# any additional parameters needed, see PrivateLink documentation for more details

Atualizar uma configuração de DNS on-premises

Quando usar nomes de DNS específicos de endpoint para acessar os endpoints de interface do Amazon Location, você não precisa atualizar o resolvedor de DNS on-premises. Você pode resolver o nome de DNS específico do endpoint com o endereço IP privado do endpoint de interface do domínio DNS público do Amazon Location.

Usar endpoints de interface para acessar o Amazon Location sem um endpoint de gateway ou um gateway da Internet na Amazon VPC

Os endpoints de interface na Amazon VPC podem rotear aplicações na Amazon VPC e aplicações on-premises para o Amazon Location pela rede da Amazon.

Criar uma política de endpoint da VPC para o Amazon Location

É possível vincular uma política de endpoint ao endpoint da Amazon VPC que controla o acesso ao Amazon Location. Essa política especifica as seguintes informações:

  • A entidade principal do AWS Identity and Access Management (IAM) que pode executar ações

  • As ações que podem ser executadas

  • Os recursos nos quais as ações podem ser executadas

Exemplo: política de vPCE de amostra o para acessar as APIs de locais do Amazon Location Service:

{
	"Version": "2012-10-17",		 	 	 
	"Statement": [
		{
			"Sid": "Allow-access-to-location-service-places-opeartions",
			"Effect": "Allow",
			"Action": [
				"geo-places:*",
				"geo:*"
			],
			"Resource": [
				"arn:aws:geo-places:us-east-1::provider/default",
				"arn:aws:geo:us-east-1:*:place-index/*"
			]
		}
	]
}