本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# Directory Service API 和接口 Amazon VPC 终端节点使用 AWS PrivateLink
您可以使用 AWS PrivateLink 在您的 VPC 和 Directory Service Directory Service 数据 API 之间创建私有连接。这使您无需使用互联网网关 Directory Service 、NAT 设备、VPN 连接或 Direct Connect 连接即可像在 VPC 中一样访问和 Directory Service Data API。您的 Amazon VPC 中的实例不需要公有 IP 地址即可访问 Directory Service 和 Directory Service 数据 API。
要建立私有连接,您需要创建一个接口 Amazon VPC 终端节点来 AWS PrivateLink 提供支持。我们将在您为接口端点启用的每个子网中创建一个端点网络接口。这些是请求者管理的网络接口,它们是发往和 Directory Servic AWS e Data 的流量 AWS Directory Service 和入口点。
有关更多信息,请参阅*AWS PrivateLink 指南 AWS PrivateLink*中的[AWS 服务 直通访问](https://docs.aws.amazon.com/vpc/latest/privatelink/privatelink-access-aws-services.html)。
## 的注意事项 Directory Service 和 Directory Service
使用 Directory Service 和 Directory Service Data,您可以通过接口端点调用 API 操作。有关在创建接口终端节点之前需要考虑的先决条件的信息,请参阅*AWS PrivateLink 指南*中的使用接口 Amazon VPC 终端节点[访问和 AWS 服务 使用 Amazon VPC 终端节点](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#considerations-interface-endpoints)。
## Directory Service 和目录服务数据可用性
Directory Service 而且 Directory Service Data 支持所有 AWS 区域 可用的接口端点。有关 AWS 区域 该支持 Directory Service 和 Directory Service 数据的信息,请参阅[区域可用性 Directory Service](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/regions.html)。
## 为其创建接口 Amazon VPC 终端节点 Directory Service 和 Directory Service
您可以使用 Amazon VPC 控制台或 AWS Command Line Interface (AWS CLI) 为 Directory Service 和 Directory Service Data API 创建接口终端节点。
**示例: Directory Service**
使用以下服务名称为 Directory Service API 创建接口终端节点:
```
com.amazonaws.{{region}}.ds
```
**示例:Directory Service Data**
使用以下服务名称为 Directory Service Data API 创建接口端点:
```
com.amazonaws.{{region}}.ds-data
```
有关创建接口终端节点的更多信息,请参阅*AWS PrivateLink 指南中的[AWS 服务 使用接口 Amazon VPC 终端节点访问](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#considerations-interface-endpoints)和*。
## 为接口 Amazon VPC 端点创建 Amazon VPC 端点策略
端点策略是一种 IAM 资源策略,您可以将其附加到接口端点。
**注意**
如果您不将端点策略附加到接口端点, AWS PrivateLink 可以代表您将默认端点策略附加到接口端点。有关更多信息,请参阅 [AWS PrivateLink 概念](https://docs.aws.amazon.com/vpc/latest/privatelink/concepts.html)。
端点策略指定以下信息:
+ 可执行操作的主体(AWS 账户、IAM 用户和 IAM 角色)
+ 可执行的操作
+ 可对其执行操作的资源
有关更多信息,请参阅《AWS PrivateLink 指南》**中的[使用端点策略控制对服务的访问权限](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html)。
您可以通过将自定义端点策略附加到接口端点来控制从 Amazon VPC 访问 API 的权限。
**示例:适用于 Amazon VPC 终端节点策略 Directory Service API 操作**
以下是自定义端点策略的示例。当您将此策略附加到接口终端节点时,它会授予所有委托人对所有资源 Directory Service 执行所列操作的访问权限。
将{{action-1}}{{action-2}}、和{{action-3}}替换为要包含在策略中的 Directory Service API 所需的权限。有关完整列表,请参阅[Directory Service API 权限:操作、资源和条件参考](UsingWithDS_IAM_ResourcePermissions.md)。
```
{
"Statement": [
{
"Principal": "*",
"Effect": "Allow",
"Action": [
"ds:{{action-1}}",
"ds:{{action-2}}",
"ds:{{action-3}}"
],
"Resource":"*"
}
]
}
```
**示例:Directory Service Data API 操作的 Amazon VPC 端点策略**
以下是自定义端点策略的示例。将此策略附加到接口端点时,其会向所有资源上的所有主体授予对列出的 Directory Service Data 操作的访问权限。
将{{action-1}}{{action-2}}、和{{action-3}}替换为要包含在策略中的 Directory Service Data API 所需的权限。有关完整列表,请参阅[Directory Service API 权限:操作、资源和条件参考](UsingWithDS_IAM_ResourcePermissions.md)。
```
{
"Statement": [
{
"Principal": "*",
"Effect": "Allow",
"Action": [
"ds-data:{{action-1}}",
"ds-data:{{action-2}}",
"ds-data:{{action-3}}"
],
"Resource":"*"
}
]
}
```