本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# AWS CloudHSM 和 VPC 终端节点
<a name="cloudhsm-vpc-endpoint"></a>

您可以通过创建接*口 VPC 终端节点在您 AWS CloudHSM 的 VPC* 之间建立私有连接。接口终端节点由一项技术提供支持 [AWS PrivateLink](https://aws.amazon.com/privatelink)，该技术使您 AWS CloudHSM APIs 无需互联网网关、NAT 设备、VPN 连接或 AWS Direct Connect 连接即可进行私密访问。您的 VPC 中的实例不需要公有 IP 地址即可与之通信 AWS CloudHSM APIs。VPC 和 AWS CloudHSM 之间的流量不会脱离 Amazon 网络。

每个接口端点均由子网中的一个或多个[弹性网络接口](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html)表示。

有关更多信息，请参阅 A *mazon VPC 用户指南中的接口 VPC* [终端节点 (AWS PrivateLink)](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html)。

## AWS CloudHSM VPC 终端节点的注意事项
<a name="vpc-endpoint-considerations"></a>

在为设置接口 VPC 终端节点之前 AWS CloudHSM，请务必查看 *Amazon VPC 用户指南*中的[接口终端节点属性和限制](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#vpce-interface-limitations)。
+ AWS CloudHSM 支持从您的 VPC 调用其所有 API 操作。

## 为创建接口 VPC 终端节点 AWS CloudHSM
<a name="vpc-endpoint-create"></a>

您可以使用 Amazon VPC 控制台或 AWS Command Line Interface (AWS CLI) 为 AWS CloudHSM 服务创建 VPC 终端节点。有关更多信息，请参阅《Amazon VPC User Guide》**中的 [Creating an interface endpoint](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#create-interface-endpoint)。

要为创建 VPC 终端节点 AWS CloudHSM，请使用以下服务名称：

```
com.amazonaws.<region>.cloudhsmv2
```

例如，在美国西部（俄勒冈）区域 (`us-west-2`)，服务名称为：

```
com.amazonaws.us-west-2.cloudhsmv2
```

为了更轻松地使用 VPC 终端节点，您可以为 VPC 终端节点启用[私有 DNS 主机名](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#vpce-private-dns)。如果您选择**启用私有 DNS 名称**选项，则标准 DN AWS CloudHSM S 主机名（`https://cloudhsmv2.<region>.amazonaws.com`和`https://cloudhsmv2.<region>.api.aws`）将解析到您的 VPC 终端节点。

此选项可让您更轻松地使用 VPC 端点。 AWS SDKs 和默认 AWS CLI 使用标准 AWS CloudHSM DNS 主机名，因此您无需在应用程序和命令中指定 VPC 终端节点 URL。

有关更多信息，请参阅《Amazon VPC 用户指南》**中的[通过接口端点访问服务](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#access-service-though-endpoint)。

## 为创建 VPC 终端节点策略 AWS CloudHSM
<a name="vpc-endpoint-policy"></a>

您可以为 VPC 端点附加控制对 AWS CloudHSM的访问的端点策略。该策略指定以下信息：
+ 可执行操作的主体。
+ 可执行的操作。
+ 可对其执行操作的资源。

有关更多信息，请参阅《Amazon VPC 用户指南》**中的[使用 VPC 端点控制对服务的访问](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html)。

**示例：用于 AWS CloudHSM 操作的 VPC 终端节点策略**  
以下是的终端节点策略示例 AWS CloudHSM。当连接到终端节点时，此策略授予所有委托人对所有资源 AWS CloudHSM 执行所列操作的访问权限。[的身份和访问管理 AWS CloudHSM](identity-access-management.md)有关其他 AWS CloudHSM 操作及其相应的 IAM 权限，请参阅。

```
{
   "Statement":[
      {
         "Principal":"*",
         "Effect":"Allow",
         "Action":[
            "<cloudhsm>:<DescribeBackups>",
            "<cloudhsm>:<DescribeClusters>",
            "<cloudhsm>:<ListTags>",
         ],
         "Resource":"*"
      }
   ]
}
```