AWS CloudHSM 和 VPC 终端节点 - AWS CloudHSM
AWS CloudHSM VPC 端点注意事项为 AWS CloudHSM 创建接口 VPC 端点为 AWS CloudHSM 创建 VPC 端点策略

AWS CloudHSM 和 VPC 终端节点

您可以通过创建接口 VPC 端点在 VPC 和 AWS CloudHSM 之间建立私有连接。接口端点由 AWS PrivateLink 提供支持,该技术支持您通过私有连接访问 AWS CloudHSM API,而无需采用互联网网关、NAT 设备、VPN 连接或 AWS Direct Connect 连接。VPC 中的实例即使没有公有 IP 地址也可与 AWS CloudHSM API 进行通信。VPC 和 AWS CloudHSM 之间的流量不会脱离 Amazon 网络。

每个接口端点均由子网中的一个或多个弹性网络接口表示。

有关更多信息,请参阅 Amazon VPC 用户指南中的接口 VPC 端点 (AWS PrivateLink)

AWS CloudHSM VPC 端点注意事项

请务必先查看 Amazon VPC 用户指南中的接口端点属性和限制,然后再为 AWS CloudHSM 设置接口 VPC 终端节点。

  • AWS CloudHSM 支持从 VPC 调用它的所有 API 操作。

为 AWS CloudHSM 创建接口 VPC 端点

您可以使用 Amazon VPC 控制台或 AWS Command Line Interface (AWS CLI) 为 AWS CloudHSM 服务创建 VPC 端点。有关更多信息,请参阅《Amazon VPC 用户指南》中的创建接口端点

要为 AWS CloudHSM 创建 VPC 终端节点,请使用以下服务名称:

com.amazonaws.<region>.cloudhsmv2

例如,在美国西部(俄勒冈)区域 (us-west-2),服务名称为:

com.amazonaws.us-west-2.cloudhsmv2

为了更轻松地使用 VPC 终端节点,您可以为 VPC 终端节点启用私有 DNS 主机名。如果选择启用私有 DNS 名称选项,标准 AWS CloudHSM DNS 主机名(https://cloudhsmv2.<region>.amazonaws.com.rproxy.govskope.cahttps://cloudhsmv2.<region>.api.aws)将解析为您的 VPC 端点。

此选项可让您更轻松地使用 VPC 终端节点。默认情况下,AWS 开发工具包和 AWS CLI 使用标准 AWS CloudHSM DNS 主机名,因此您不需要在应用程序和命令中指定 VPC 终端节点 URL。

有关更多信息,请参阅《Amazon VPC 用户指南》中的通过接口端点访问服务

为 AWS CloudHSM 创建 VPC 端点策略

您可以为 VPC 端点附加控制对 AWS CloudHSM 的访问的端点策略。该策略指定以下信息:

  • 可执行操作的主体。

  • 可执行的操作。

  • 可对其执行操作的资源。

有关更多信息,请参阅《Amazon VPC User Guide》中的 Controlling access to services with VPC endpoints

示例:AWS CloudHSM操作的 VPC 端点策略

下面是用于 AWS CloudHSM 的端点策略示例。当附加到端点时,此策略会向所有资源上的所有主体授予对列出的 AWS CloudHSM 操作的访问权限。请参阅 适用于 AWS CloudHSM 的身份和访问管理,以获取其他 AWS CloudHSM 行动及其相应的 IAM 许可。

{
   "Statement":[
      {
         "Principal":"*",
         "Effect":"Allow",
         "Action":[
            "<cloudhsm>:<DescribeBackups>",
            "<cloudhsm>:<DescribeClusters>",
            "<cloudhsm>:<ListTags>",
         ],
         "Resource":"*"
      }
   ]
}