本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
已启用跨区域 AWS 服务
以下内容与跨区域 AWS 服务 集成 AWS PrivateLink。您可以创建接口终端节点以私密方式连接到其他 AWS 区域中的这些服务,就像它们在您自己的 VPC 中运行一样。
选择AWS 服务列中的链接以查看服务文档。服务名称列包含您在创建接口终端节点时指定的服务名称。
| AWS 服务 | 服务名称 |
|---|---|
| Amazon S3 | com.amazonaws。 region.s3 |
| AWS Identity and Access Management (IAM) | com.amazonaws.iam |
| Amazon ECR | com.amazonaws。 region.ecr.api |
com.amazonaws。 region.ecr.dkr |
|
| AWS Key Management Service | com.amazonaws。 region.kms |
com.amazonaws。 region.kms-fips |
|
| Amazon ECS | com.amazonaws。 region.ecs |
| AWS Lambda | com.amazonaws。 region.lambda |
| Amazon Data Firehose | com.amazonaws。 region.kinesis-firehose |
| 适用于 Apache Flink 的亚马逊托管服务 | com.amazonaws。 region. 运动分析 |
com.amazonaws。 region.kinesisanalytics-fips |
|
| Amazon Route 53 | com.amazonaws.route53 |
查看可用的 AWS 服务 名字
您可以使用describe-vpc-endpoint-services命令查看启用跨区域的服务。
以下示例显示了 AWS 服务 该us-east-1区域的用户可以通过接口终端节点访问指定 (us-west-2) 服务区域的。该 --query 选项将输出限制为服务名称。
aws ec2 describe-vpc-endpoint-services \ --filters Name=service-type,Values=Interface Name=owner,Values=amazon \ --regionus-east-1\ --service-regionus-west-2\ --query ServiceNames
下面是示例输出。未显示完整的输出。
[
"com.amazonaws.us-west-2.ecr.api",
"com.amazonaws.us-west-2.ecr.dkr",
"com.amazonaws.us-west-2.ecs",
"com.amazonaws.us-west-2.ecs-fips",
...
"com.amazonaws.us-west-2.s3"
]注意
您必须使用区域性 DNS。 AWS 服务 在其他区域访问时,不支持区域 DNS。有关更多信息,请参阅 Amazon VPC 用户指南中的查看和更新 DNS 属性。
权限和注意事项
-
默认情况下,IAM 实体无权访问其他 AWS 服务 区域的。要授予跨区域访问所需的权限,IAM 管理员可以创建允许
vpce:AllowMultiRegion仅限权限操作的 IAM 策略。 -
确保您的服务控制策略 (SCP) 不会拒绝仅限
vpce:AllowMultiRegion权限的操作。要使用 AWS PrivateLink跨区域连接功能,您的身份策略和 SCP 都必须允许此操作。 -
要控制 IAM 实体在创建 VPC 端点时可以指定为服务区域的区域,请使用
ec2:VpceServiceRegion条件键。 -
服务使用者必须先选择加入一个选择加入区域,然后才能将其选择为端点的服务区域。我们建议服务使用者尽可能使用区域内连接而非跨区域连接来访问服务。区域内连接可提供更低的延迟和成本。
-
您可以使用 IAM 的新
aws:SourceVpcArn全局条件密钥来保护可以从哪些地区访问 VPCs 您的资源。 AWS 账户 此密钥有助于实现数据驻留和基于区域的访问控制。 -
为了获得高可用性,请在至少两个可用区中创建一个支持跨区域的接口终端节点。在这种情况下,提供商和消费者无需使用相同的可用区。
-
通过跨区域访问,可以 AWS PrivateLink 管理服务区域和消费区域中可用区域之间的故障转移。它不管理跨区域的失效转移。
-
以下可用区不支持跨区域访问:
use1-az3、usw1-az2、apne1-az3apne2-az2、和apne2-az4。 -
您可以使用模拟区域事件并 AWS Fault Injection Service 对支持区域内和跨区域的接口终端节点的故障场景进行建模。要了解更多信息,请参阅AWS FIS 文档。
创建指向其他区域 AWS 服务 的接口终端节点
要使用控制台创建接口终端节点,请参阅创建 VPC 终端节点部分。
在 CLI 中,您可以使用create-vpc-endpoint命令创建通往不同区域的 VPC 终端节点。 AWS 服务 以下示例创建了us-west-2从中的 VPC 到 Amazon S3 的接口终端节点us-east-1。
aws ec2 create-vpc-endpoint \ --vpc-idvpc-id\ --service-name com.amazonaws.us-west-2.s3 \ --vpc-endpoint-type Interface \ --subnet-idssubnet-id-1 subnet-id-2\ --region us-east-1 \ --service-region us-west-2
