本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 使用访问亚马逊验证权限 AWS PrivateLink
<a name="vpc-interface-endpoints"></a>

您可以使用 AWS PrivateLink 在您的 VPC 和 Amazon 验证权限之间创建私有连接。无需使用互联网网关、NAT 设备、VPN 连接或 Direct Connect 连接，即可像访问您的 VPC 一样访问经过验证的权限。VPC 中的实例不需要公有 IP 地址即可访问 Verified Permissions。

您可以通过创建由 AWS PrivateLink提供支持的*接口端点*来建立此私有连接。我们将在您为接口端点启用的每个子网中创建一个端点网络接口。这些是请求者托管的网络接口，用作发往 Verified Permissions 的流量的入口点。

有关更多信息，请参阅《AWS PrivateLink 指南》**中的[通过 AWS PrivateLink访问 AWS 服务](https://docs.aws.amazon.com/vpc/latest/privatelink/privatelink-access-aws-services.html)。

## Verified Permissions 注意事项
<a name="vpc-endpoint-considerations"></a>

在为 Verified Permissions 设置接口端点之前，请首先查看《AWS PrivateLink 指南》中的[注意事项](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#considerations-interface-endpoints)**。

Verified Permissions 支持通过接口端点调用其所有 API 操作。

Verified Permissions 不支持 VPC 端点策略。默认情况下，允许通过接口端点对 Verified Permissions 进行完全访问。或者，您可以将安全组与端点网络接口关联，以控制通过接口端点流向 Verified Permissions 的流量。

## 为 Verified Permissions 创建接口端点
<a name="vpc-endpoint-create"></a>

您可以使用 Amazon VPC 控制台或 AWS Command Line Interface （AWS CLI）为 Verified Permissions 创建接口端点。有关更多信息，请参阅《AWS PrivateLink 指南》**中的[创建接口端点](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#create-interface-endpoint-aws)。

使用以下服务名称为 Verified Permissions 创建接口端点：

```
com.amazonaws.{{region}}.verifiedpermissions
```

如果为接口端点启用私有 DNS，则可使用区域默认 DNS 名称向 Verified Permissions 发出 API 请求。例如 `verifiedpermissions.us-east-1.amazonaws.com`。

## 为 VPC 端点创建端点策略
<a name="vpc-endpoint-policy"></a>

端点策略是一种 IAM 资源，您可以将其附加到接口端点。默认终端节点策略允许通过接口端点对已验证权限进行完全访问权限。要控制允许从您的 VPC 访问已验证权限，请将自定义终端节点策略附加到接口终端节点。

端点策略指定以下信息：
+ 可执行操作的主体（AWS 账户、IAM 用户和 IAM 角色）。
+ 可执行的操作。
+ 可对其执行操作的资源。

有关更多信息，请参阅《AWS PrivateLink 指南》**中的[使用端点策略控制对服务的访问权限](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html)。

**示例：用于已验证权限操作的 VPC 终端节点策略**  
以下是自定义端点策略的示例。当您将此策略附加到接口终端节点时，它会向所有委托人授予所有资源上列出的已验证权限操作的访问权限。

```
{
   "Statement": [
      {
         "Principal": "*",
         "Effect": "Allow",
         "Action": [
            "verifiedpermissions:IsAuthorized",
            "verifiedpermissions:IsAuthorizedWithToken",
            "verifiedpermissions:GetPolicy"
         ],
         "Resource":"*"
      }
   ]
}
```