Visualizar nomes de AWS service (Serviço da AWS) disponíveis Permissões e considerações Crie um endpoint de interface para um AWS service (Serviço da AWS) em outra região

Habilitado entre regiões Serviços da AWS

O seguinte Serviços da AWS se integra com várias regiões AWS PrivateLink. Você pode criar um endpoint de interface para se conectar a esses serviços em outra AWS região, de forma privada, como se estivessem sendo executados em sua própria VPC.

Escolha o link na AWS service (Serviço da AWS)coluna para ver a documentação do serviço. A coluna Nome do serviço contém o nome do serviço que você especifica ao criar o endpoint da interface.

AWS service (Serviço da AWS)	Nome do serviço
Amazon S3	com.amazonaws. `region`.s3
AWS Identity and Access Management (IAM)	com.amazonaws.iam
Amazon ECR	com.amazonaws. `region`.ecr.api
Amazon ECR	com.amazonaws. `region`.ecr.dkr
AWS Key Management Service	com.amazonaws. `region`.kms
AWS Key Management Service	com.amazonaws. `region`.kms-fips
Amazon ECS	com.amazonaws. `region`.ecs
AWS Lambda	com.amazonaws. `region`.lambda
Amazon Data Firehose	com.amazonaws. `region`. mangueira de incêndio kinesis
Amazon Managed Service for Apache Flink	com.amazonaws. `region`.kinesis analytics
Amazon Managed Service for Apache Flink	com.amazonaws. `region`.kinesisanalytics-fips
Amazon Route 53	com.amazonaws.route53

Visualizar nomes de AWS service (Serviço da AWS) disponíveis

Você pode usar o describe-vpc-endpoint-servicescomando para visualizar serviços habilitados em várias regiões.

O exemplo a seguir mostra o Serviços da AWS que um usuário na us-east-1 região pode acessar pelos endpoints da interface, até a região de serviço especificada (us-west-2). A opção --query limita a saída para aos nomes dos serviços


aws ec2 describe-vpc-endpoint-services \
  --filters Name=service-type,Values=Interface Name=owner,Values=amazon \ 
  --region us-east-1 \
  --service-region us-west-2 \
  --query ServiceNames

O seguinte é um exemplo de saída. A saída completa não é mostrada.


[
    "com.amazonaws.us-west-2.ecr.api",
    "com.amazonaws.us-west-2.ecr.dkr",
    "com.amazonaws.us-west-2.ecs",
    "com.amazonaws.us-west-2.ecs-fips",
    ...
    "com.amazonaws.us-west-2.s3"
]

nota

Você deve usar o DNS regional. O DNS zonal não é suportado ao acessar Serviços da AWS em outra região. Para obter mais informações, consulte Visualizar e atualizar atributos de DNS no Guia do usuário da Amazon VPC.

Permissões e considerações

Por padrão, as entidades do IAM não têm permissão para acessar uma AWS service (Serviço da AWS) em outra região. Para conceder as permissões necessárias para acesso entre regiões, um administrador do IAM pode criar políticas do IAM que permitam a ação somente vpce:AllowMultiRegion de permissão.
Certifique-se de que sua Política de Controle de Serviços (SCP) não negue ações somente com vpce:AllowMultiRegion permissão. Para usar AWS PrivateLink o recurso de conectividade entre regiões, tanto sua política de identidade quanto seu SCP devem permitir essa ação.
Para controlar as regiões que uma entidade do IAM pode especificar como uma região de serviço ao criar um endpoint da VPC, use a chave de condição ec2:VpceServiceRegion.
Um consumidor de serviço deve fazer a opção por uma região opcional antes de selecioná-la como uma região de serviço para um endpoint. Sempre que possível, recomendamos que os consumidores de serviço acessem um serviço usando conectividade intrarregional em vez de conectividade inter-regional. A conectividade intrarregional oferece menor latência e custos mais baixos.
Você pode usar a nova chave de condição aws:SourceVpcArn global do IAM para proteger de quais regiões Contas da AWS e VPCs seus recursos podem ser acessados. Essa chave ajuda a implementar a residência de dados e o controle de acesso baseado na região.
Para obter alta disponibilidade, crie um endpoint de interface compatível com várias regiões em pelo menos duas zonas de disponibilidade. Nesse caso, provedores e consumidores não precisam usar as mesmas zonas de disponibilidade.
Com o acesso entre regiões, AWS PrivateLink gerencia o failover entre as zonas de disponibilidade nas regiões de serviço e de consumo. Ele não gerencia o failover inter-regional.
O acesso entre regiões não é suportado nas seguintes zonas de disponibilidade: use1-az3 usw1-az2apne1-az3,apne2-az2,, apne2-az4 e.
Você pode usar AWS Fault Injection Service para simular eventos regionais e modelar cenários de falha para endpoints de interface habilitados para regiões e entre regiões. Para saber mais, consulte a AWS FIS documentação.

Crie um endpoint de interface para um AWS service (Serviço da AWS) em outra região

Para criar um endpoint de interface usando o console, consulte a seção Criar um endpoint VPC.

Na CLI, você pode usar o create-vpc-endpointcomando para criar um VPC endpoint para uma AWS service (Serviço da AWS) região diferente. O exemplo a seguir cria um endpoint de interface para o Amazon S3 a partir de uma us-west-2 entrada VPC. us-east-1


aws ec2 create-vpc-endpoint \
  --vpc-id vpc-id \ 
  --service-name com.amazonaws.us-west-2.s3 \
  --vpc-endpoint-type Interface \
  --subnet-ids subnet-id-1 subnet-id-2 \ 
  --region us-east-1 \
  --service-region us-west-2

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Serviços que se integram

Como criar um endpoint de interface