本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# Amazon 安全湖和接口 VPC 终端节点 (AWS PrivateLink)
<a name="security-vpc-endpoints"></a>

您可以通过创建接*口 VPC 终端节点在您的 VPC 和 Amazon Security Lake 之间建立私有*连接。接口端点由一项技术提供支持 [AWS PrivateLink](https://aws.amazon.com/privatelink)，该技术使您 APIs 无需互联网网关、NAT 设备、VPN 连接或 Di AWS rect Connect 连接即可私密访问 Security Lake。您的 VPC 中的实例不需要公有 IP 地址即可与安全湖通信 APIs。您的 VPC 和安全湖之间的流量不会离开亚马逊网络。

每个接口端点均由子网中的一个或多个[弹性网络接口](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html)表示。

有关更多信息，请参阅 *AWS PrivateLink 指南*中的[接口 VPC 端点 (AWS PrivateLink)](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html)。

## 安全湖 VPC 终端节点的注意事项
<a name="vpc-endpoint-considerations"></a>

在为 Security Lake 设置接口 VPC 终端节点之前，请[务必查看*AWS PrivateLink 指南*中的接口终端节点属性和限制](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#vpce-interface-limitations)。

Security Lake 支持从您的 VPC 调用其所有 API 操作。

Security Lake 仅在以下存在 FIPS 的区域支持 FIPS VPC 终端节点：
+ 美国东部（弗吉尼亚州北部）
+ 美国东部（俄亥俄州）
+ 美国西部（北加利福尼亚）
+ 美国西部（俄勒冈州）

## 为安全湖创建接口 VPC 终端节点
<a name="vpc-endpoint-create"></a>

您可以使用 Amazon VPC 控制台或 AWS Command Line Interface (AWS CLI) 为安全湖服务创建 VPC 终端节点。有关更多信息，请参阅《AWS PrivateLink 指南》**中的[创建接口端点](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#create-interface-endpoint)。

使用以下服务名称为安全湖创建 VPC 终端节点：

 
+ com.amazonaws。 *region*. securityL
+ com.amazonaws。 *region*.securitylake-fips（FIPS 端点）

例如，如果您为终端节点启用私有 DNS，则可以使用该区域的默认 DNS 名称向 Security Lake 发出 API 请求`securitylake.us-east-1.amazonaws.com`。

有关更多信息，请参阅 *AWS PrivateLink 指南*中的[通过接口端点访问服务](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#access-service-though-endpoint)。

## 为安全湖创建 VPC 终端节点策略
<a name="vpc-endpoint-policy"></a>

您可以将终端节点策略附加到控制安全湖访问权限的 VPC 终端节点。该策略指定以下信息：
+ 可执行操作的主体。
+ 可执行的操作。
+ 可对其执行操作的资源。

有关更多信息，请参阅 *AWS PrivateLink 指南*中的[使用 VPC 端点控制对服务的访问](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html)。

**示例：安全湖操作的 VPC 终端节点策略**  
以下是 Security Lake 的终端节点策略示例。当连接到终端节点时，此策略向所有资源的所有委托人授予访问列出的 Security Lake 操作的权限。

```
{
   "Statement":[
      {
         "Principal":"*",
         "Effect":"Allow",
         "Action":[
            "securitylake:ListDataLakes",
            "securitylake:ListLogSources",
            "securitylake:ListSubscribers"
         ],
         "Resource":"*"
      }
   ]
}
```

## 共享子网
<a name="sh-vpc-endpoint-shared-subnets"></a>

您无法在与您共享的子网中创建、描述、修改或删除 VPC 端点。但是，您可以在与您共享的子网中使用 VPC 端点。有关 VPC 共享的信息，请参阅《*Amazon VPC 用户指南*》中的[与其他账户共享 VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-sharing.html)。