本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 将 Amazon Rekognition 与 Amazon VPC 端点结合使用
<a name="vpc"></a>

如果您使用 Amazon Virtual Private Cloud (Amazon VPC) 托管 AWS 资源，则可以在您的 VPC 和 Amazon Rekognition 之间建立私有连接。您可以使用此连接实现 Amazon Rekognition 与 VPC 上的资源的通信而不用访问公共 Internet。

Amazon VPC 是一项 AWS 服务，可用来启动在虚拟网络中定义的 AWS 资源。借助 VPC，您可以控制您的网络设置，如 IP 地址范围、子网、路由表和网络网关。通过 VPC 端点，AWS 网络可处理 VPC 和 AWS 服务之间的路由。

要将您的 VPC 连接到 Amazon Rekognition，请为 Amazon Rekognition 定义一个接口 VPC 端点。接口终端节点是一个带有私有 IP 地址的 elastic network 接口，该地址用作发往受支持 AWS 服务的流量的入口点。该端点提供了与 Amazon Rekognition 的可靠、可扩展的连接，并且不需要互联网网关、网络地址转换 (NAT) 实例或 VPN 连接。有关更多信息，请参阅**《Amazon VPC 用户指南》中的[什么是 Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/)。

接口 VPC 终端节点由 AWS 启用 PrivateLink。此 AWS 技术通过使用具有私有 IP 地址的弹性网络接口来实现 AWS 服务之间的私有通信。

**注意**  
AWS 支持所有亚马逊 Rekognition 联邦信息处理标准 (FIPS) 终端节点。 PrivateLink

## 为 Amazon Rekognition 创建 Amazon VPC 端点
<a name="vpc-create-endpoint"></a>

您可以创建两种类型的 Amazon VPC 端点以与 Amazon Rekognition 一起使用。
+ VPC 端点可与 Amazon Rekognition 操作一起使用。对于大多数用户而言，这是最合适的 VPC 端点类型。
+ VPC 端点可用于针对以下端点的 Amazon Rekognition 操作：符合联邦信息处理标准 (FIPS) 出版物 140-2 美国政府标准。

要开始将 Amazon Rekognition 与您的 VPC 结合使用，请使用 Amazon VPC 控制台为 Amazon Rekognition 创建一个接口 VPC 端点。有关说明，请参阅[创建接口端点](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#create-interface-endpoint)中的过程“使用控制台创建到 AWS 服务的接口端点”。请注意以下过程步骤：
+ 步骤 3 – 对于**服务类别**，选择 *AWS 服务*。
+ 步骤 4 – 对于**服务名称**，选择以下选项之一：
  + *com.amazonaws.region.rekognition* – 为 Amazon Rekognition 操作创建 VPC 端点。
  + *com.amazonaws.region.rekognition-fips* – 为针对以下端点的 Amazon Rekognition 操作创建 VPC 端点：符合联邦信息处理标准 (FIPS) 出版物 140-2 美国政府标准。

有关更多信息，请参阅**《Amazon VPC 用户指南》中的[入门](https://docs.aws.amazon.com/vpc/latest/userguide/GetStarted.html)。

 

## 为 Amazon Rekognition 创建 VPC 端点策略
<a name="api-private-link-policy"></a>

您可以为 Amazon Rekognition 的 Amazon VPC 端点创建一个策略，在该策略中指定以下内容：
+ 可执行操作的主体。
+ 可执行的操作。
+ 可对其执行操作的资源。

有关更多信息，请参阅**《Amazon VPC 用户指南》中的[使用 VPC 端点控制对服务的访问权限](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html)。

以下示例策略允许通过 VPC 端点连接到 Amazon Rekognition 的用户调用 `DetectFaces` API 操作。该策略将阻止用户通过 VPC 端点执行其他 Amazon Rekognition API 操作。

用户仍可从 VPC 外部调用其他 Amazon Rekognition API 操作。有关如何拒绝对 VPC 外部的 Amazon Rekognition API 操作的访问信息，请参阅[Amazon Rekognition 基于身份的策略](security_iam_service-with-iam.md#security_iam_service-with-iam-id-based-policies)。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": [
                "rekognition:DetectFaces"
            ],
            "Resource": "*",
            "Effect": "Allow",
            "Principal": "*"
        }
    ]
}
```

------

**修改 Amazon Rekognition 的 VPC 端点策略**

1. 打开位于 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 的 Amazon VPC 控制台。

1. 如果还没有为 Amazon Rekognition 创建端点，请选择**创建端点**。然后选择 **com.amazonaws。 ***Region***.rekognition 然后选择创建端点。**

1. 在导航窗格中，选择**端点**。

1. 选择 **com.amazonaws。 *Region*.rekognition** 端点，然后选择屏幕下半部分的 “**策略**” 选项卡。

1. 选择**编辑策略**并对策略进行更改。