本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 配置 VPC 端点
<a name="vpc-endpoints"></a>

VPC 端点仅在出站 VPC 中创建，该 VPC 可充当组织中所有 VPC 安全访问 AWS 服务的来源。这有助于管理 VPC 端点，同时也有助于成本优化，因为只有一个端点来源，而不是各个 VPC 中有多个端点。

## 网关终端节点
<a name="gateway-endpoint"></a>

网关 VPC 端点可提供与 Amazon Simple Storage Service（Amazon S3）和 Amazon DynamoDB 的可靠连接，而无需为您的 VPC 提供互联网网关或 NAT 网关。与其他类型的 VPC 端点不同，网关端点不使用 AWS PrivateLink。网关端点免费提供。如果您需要通过安全通道从分支 VPC 访问 Amazon S3 和 DynamoDB，最好使用网关端点。

## 接口终端节点
<a name="interface-endpoint"></a>

接口端点有助于在 AWS 上的服务与 AWS PrivateLink 上的端点之间建立私有通信。

在出站 VPC 中，创建所需的 VPC 端点。对于 Amazon S3 和 DynamoDB，请在各个 VPC 中创建网关端点。常用的 VPC 端点包括以下各项：
+ Amazon S3 控件
+ DynamoDB
+ AWS Systems Manager

## 架构
<a name="architecture"></a>

下图显示托管在 EC2 实例上的应用程序或其他 AWS 账户中的其他服务如何通过集中式 VPC 端点访问 AWS 服务。在此架构中，VPC B 中另一个账户的 EC2 实例可以使用在 VPC A 中创建的 VPC 端点解析 Systems Manager 会话。



![该架构包括账户 A 中的私有子网和安全组。](http://docs.aws.amazon.com/zh_cn/prescriptive-guidance/latest/robust-network-design-control-tower/images/network-architecture.png)


这有助于节省成本，因为 VPC 端点托管在可以跨组织使用的单个集中式网络账户中。您可以通过单个账户创建和管理 VPC 端点。