本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# AWS PrivateLink 对于 AWS Organizations
<a name="orgs_security_privatelink"></a>

使用 AWS PrivateLink for AWS Organizations，您无需通过公共互联网即可从虚拟私有云 (VPC) 内访问该 AWS Organizations 服务。

Amazon VPC 允许您在自定义虚拟网络中启动 AWS 资源。可以使用 VPC 控制您的网络设置，例如 IP 地址范围、子网、路由表和网络网关。有关更多信息 VPCs，请参阅 [https://docs.aws.amazon.com/vpc/latest/userguide/](https://docs.aws.amazon.com/vpc/latest/userguide/)。

要将您的 Amazon VPC 连接到 AWS Organizations，您必须先定义接口 VPC 终端节点（接口终端节点）。接口终端节点由一个或多个弹性网络接口 (ENIs) 表示，这些接口 () 是从您的 VPC 中的子网中分配的私有 IP 地址。从您的 VPC 发往 AWS Organizations 接口终端节点的请求将保留在 Amazon 网络上。

有关接口终端节点的一般信息，请参阅 *Amazon VPC 用户指南中的使用接口 VPC* [终端节点访问 AWS 服务](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#vpce-interface-limitations)。

**Topics**
+ [for 的 AWS PrivateLink 限制和限制 AWS Organizations](#limits-restrictions-privatelink)
+ [创建 VPC 端点](create-vpc-endpoint.md)
+ [创建 VPC 端点策略](create-vpc-endpoint-policy.md)

## for 的 AWS PrivateLink 限制和限制 AWS Organizations
<a name="limits-restrictions-privatelink"></a>

VPC 限制适用 AWS PrivateLink 于 AWS Organizations。有关更多信息，请参阅 *Amazon VPC 用户指南*[中的使用接口 VPC 终端节点和[AWS PrivateLink 配额](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-limits-endpoints.html)访问 AWS 服务](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#vpce-interface-limitations)。此外，以下限制将适用：
+ 仅在 `us-east-1` 区域中可用。
+ 不支持传输层安全性协议（TLS）1.1

# 为创建 VPC 终端节点 AWS Organizations
<a name="create-vpc-endpoint"></a>

您可以使用 Amazon VPC 控制台 AWS Command Line Interface （AWS CLI）或，在您的 VPC 中创建 AWS Organizations 终端节点 CloudFormation。

有关使用 Amazon VPC 控制台或创建和配置终端节点的信息 AWS CLI，请参阅 Amazon [VPC *用户指南中的创建 VPC* 终端节点](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#create-interface-endpoint-aws)。有关使用创建和配置终端节点的信息 CloudFormation，请参阅*AWS CloudFormation 用户指南*中的 [AWS:: EC2:: VPCEndpoint](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-ec2-vpcendpoint.html) 资源。

创建 AWS Organizations 终端节点时，请使用以下内容作为服务名称：

```
com.amazonaws.us-east-1.organizations
```

如果您在访问时需要经过 FIPS 140-2 验证的加密模块 AWS，请使用以下 AWS Organizations FIPS 服务名称：

```
com.amazonaws.us-east-1.organizations-fips
```

# 为创建 VPC 终端节点策略 AWS Organizations
<a name="create-vpc-endpoint-policy"></a>

您可以将端点策略附加到 VPC 端点，以控制对 Organizations 的访问。该策略指定以下信息：
+ 可执行操作的主体。
+ 可执行的操作。
+ 可对其执行操作的资源。

有关更多信息，请参阅《*Amazon VPC 用户指南*》中的[使用端点策略控制对 VPC 端点的访问](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html)。

## 示例：用于 AWS Organizations 操作的 VPC 终端节点策略
<a name="Log-entries-close-account"></a>

```
{
   "Statement":[
      {
         "Principal":"*",
         "Effect":"Allow",
         "Action":[
            "Organizations:DescribeAccount"
         ],
         "Resource":"*"
      }
   ]
}
```