配置 VPC 端点 - AWS 规范性指导
网关终端节点接口终端节点架构

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

配置 VPC 端点

VPC 端点仅在出站 VPC 中创建,该 VPC 可充当组织中所有 VPC 安全访问 AWS 服务的来源。这有助于管理 VPC 端点,同时也有助于成本优化,因为只有一个端点来源,而不是各个 VPC 中有多个端点。

网关终端节点

网关 VPC 端点可提供与 Amazon Simple Storage Service(Amazon S3)和 Amazon DynamoDB 的可靠连接,而无需为您的 VPC 提供互联网网关或 NAT 网关。与其他类型的 VPC 端点不同,网关端点不使用 AWS PrivateLink。网关端点免费提供。如果您需要通过安全通道从分支 VPC 访问 Amazon S3 和 DynamoDB,最好使用网关端点。

接口终端节点

接口端点有助于在 AWS 上的服务与 AWS PrivateLink 上的端点之间建立私有通信。

在出站 VPC 中,创建所需的 VPC 端点。对于 Amazon S3 和 DynamoDB,请在各个 VPC 中创建网关端点。常用的 VPC 端点包括以下各项:

  • Amazon S3 控件

  • DynamoDB

  • AWS Systems Manager

架构

下图显示托管在 EC2 实例上的应用程序或其他 AWS 账户中的其他服务如何通过集中式 VPC 端点访问 AWS 服务。在此架构中,VPC B 中另一个账户的 EC2 实例可以使用在 VPC A 中创建的 VPC 端点解析 Systems Manager 会话。

该架构包括账户 A 中的私有子网和安全组。

这有助于节省成本,因为 VPC 端点托管在可以跨组织使用的单个集中式网络账户中。您可以通过单个账户创建和管理 VPC 端点。