Amazon Detective 和接口 VPC 终端节点 (AWS PrivateLink) - Amazon Detective
Detective VPC 终端节点的注意事项为 Detective 创建接口 VPC 终端节点为 Detective 创建 VPC 终端节点策略共享子网

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon Detective 和接口 VPC 终端节点 (AWS PrivateLink)

您可以通过创建接口 VPC 终端节点在您的 VPC 和 Amazon Detective 之间建立私有连接。接口端点由一项技术提供支持 AWS PrivateLink,该技术使您 APIs 无需互联网网关、NAT 设备、VPN 连接或 Di AWS rect Connect 连接即可私密访问 Detective。您的 VPC 中的实例不需要公有 IP 地址即可与 Detective 通信 APIs。您的 VPC 和 Detective 之间的流量不会离开亚马逊网络。

每个接口端点均由子网中的一个或多个弹性网络接口表示。

有关更多信息,请参阅 AWS PrivateLink 指南中的接口 VPC 端点 (AWS PrivateLink)

Detective VPC 终端节点的注意事项

在为 Detective 设置接口 VPC 终端节点之前,请务必查看AWS PrivateLink 指南中的接口终端节点属性和限制

Detective 支持从你的 VPC 调用其所有 API 操作。

Detective 在以下区域支持 FIPS:

  • 美国东部(弗吉尼亚州北部)

  • 美国东部(俄亥俄州)

  • 美国西部(加利福尼亚北部)

  • 美国西部(俄勒冈州)

  • 加拿大(中部)

为 Detective 创建接口 VPC 终端节点

您可以使用 Amazon VPC 控制台或 AWS Command Line Interface (AWS CLI) 为 Detective 服务创建 VPC 终端节点。有关更多信息,请参阅《AWS PrivateLink 指南》中的创建接口端点

使用以下服务名称为 Detective 创建 VPC 终端节点:

  • com.amazonaws。 region. 侦探

  • com.amazonaws。 region.detective-fips

例如,如果您为终端节点启用私有 DNS,则可以使用该终端节点的默认 DNS 名称向 Detective 发出 API 请求api.detective.us-east-1.amazonaws.com。有关更多信息,请参阅中的 Amazon Detective 终端节点Amazon Web Services 一般参考

有关更多信息,请参阅 AWS PrivateLink 指南中的通过接口端点访问服务

为 Detective 创建 VPC 终端节点策略

您可以将终端节点策略附加到控制对 Detective 的访问权限的 VPC 终端节点。该策略指定以下信息:

  • 可执行操作的主体。

  • 可执行的操作。

  • 可对其执行操作的资源。

有关更多信息,请参阅 AWS PrivateLink 指南中的使用 VPC 端点控制对服务的访问

示例:适用于 Detective 操作的 VPC 终端节点策略

以下是 Detective 的端点策略示例。当连接到端点时,此策略允许所有委托人访问所有资源上列出的 Detective 操作。

{
   "Statement":[
      {
         "Principal":"*",
         "Effect":"Allow",
         "Action":[
            "detective:ListGraphs",
            "detective:ListMembers"
         ],
         "Resource":"*"
      }
   ]
}

共享子网

您无法在与您共享的子网中创建、描述、修改或删除 VPC 端点。但是,您可以在与您共享的子网中使用 VPC 端点。有关 VPC 共享的信息,请参阅《Amazon VPC 用户指南》中的与其他账户共享 VPC