使用接口端点访问 Amazon 应用程序恢复控制器(ARC)可用区转移(AWS PrivateLink) - Amazon 应用程序恢复控制器(ARC)
注意事项创建接口端点创建端点策略

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用接口端点访问 Amazon 应用程序恢复控制器(ARC)可用区转移(AWS PrivateLink)

您可以使用 AWS PrivateLink 在您的 VPC 和 Amazon 应用程序恢复控制器 (ARC) 区域转移之间创建私有连接。无需使用互联网网关、NAT 设备、VPN 连接或 Direct Connect 连接,即可像在 VPC 中一样访问 ARC 区域切换。VPC 中的实例不需要公有 IP 地址即可访问 ARC 可用区转移。

您可以通过创建由 AWS PrivateLink提供支持的接口端点来建立此私有连接。我们将在您为接口端点启用的每个子网中创建一个端点网络接口。这些是请求者托管的网络接口,用作发往 ARC 可用区转移的流量的入口点。

有关更多信息,请参阅AWS PrivateLink 指南 AWS PrivateLink中的AWS 服务 直通访问

ARC 可用区转移的注意事项

在为 ARC 可用区转移设置接口端点之前,请首先查看《AWS PrivateLink 指南》中的注意事项

ARC 可用区转移支持通过接口端点调用其所有 API 操作。

为 ARC 可用区转移创建接口端点

您可以使用 Amazon VPC 控制台或 AWS Command Line Interface (AWS CLI) 为 ARC 区域转移创建接口终端节点。有关更多信息,请参阅《AWS PrivateLink 指南》中的创建接口端点

使用以下服务名称为 ARC 可用区转移创建接口端点:

com.amazonaws.region.arc-zonal-shift

如果为接口端点启用私有 DNS,则可使用其默认区域 DNS 名称向 ARC 可用区转移发出 API 请求。例如 arc-zonal-shift.us-east-1.amazonaws.com

为 VPC 端点创建端点策略

端点策略是一种 IAM 资源,您可以将其附加到接口端点。默认端点策略允许通过接口端点对 ARC 可用区转移进行完全访问。要控制允许从 VPC 访问 ARC 可用区转移的权限,请将自定义端点策略附加到接口端点。

端点策略指定以下信息:

  • 可执行操作的主体(AWS 账户、IAM 用户和 IAM 角色)。

  • 可执行的操作。

  • 可对其执行操作的资源。

有关更多信息,请参阅《AWS PrivateLink 指南》中的使用端点策略控制对服务的访问权限

示例:适用于 ARC 可用区转移操作的 VPC 端点策略

以下是自定义端点策略的示例。将此策略附加到接口端点时,它会向所有资源上的所有主体授予对所列 ARC 可用区转移操作的访问权限。

{
   "Statement": [
      {
         "Principal": "*",
         "Effect": "Allow",
         "Action": [
            "arc-zonal-shift:ListManagedResources",
            "arc-zonal-shift:StartZonalShift",
            "arc-zonal-shift:CancelZonalShift"
         ],
         "Resource":"*"
      }
   ]
}

Resource 也可以列为 arn:aws:elasticloadbalancing:us-east-1:111122223333:loadbalancer/app/Testing/1111111ecd42dc05