本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# AWS 服务 使用接口访问 VPC 终端节点
您可以创建接口 VPC 终端节点来连接由其提供支持的服务 AWS PrivateLink,包括许多服务 AWS 服务。有关概述,请参阅 [AWS PrivateLink 概念](concepts.md) 和 [AWS 服务 通过以下方式访问 AWS PrivateLink](privatelink-access-aws-services.md)。
对于您在 VPC 中指定的每个子网,我们将在子网中创建一个端点网络接口,并为其分配子网地址范围内的私有 IP 地址。端点网络接口是由请求者管理的网络接口;您可以在您的 AWS 账户中查看,但无法自行管理。
您需要根据每小时使用量付费并支付数据处理费用。有关更多信息,请参阅[接口端点定价](https://aws.amazon.com/privatelink/pricing/#Interface_Endpoint_pricing)。
**Topics**
+ [前提条件](#prerequisites-interface-endpoints)
+ [创建 VPC 端点](#create-interface-endpoint-aws)
+ [共享子网](#interface-endpoint-shared-subnets)
+ [ICMP](#interface-endpoint-icmp)
## 前提条件
+ 在您的 VPC AWS 服务 中部署用于访问的资源。
+ 若要使用私有 DNS,您必须为 VPC 启用 DNS 主机名和 DNS 解析。有关更多信息,请参阅《*Amazon VPC 用户指南*》中的[查看和更新 DNS 属性](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc-dns-updating)。
+ 要 IPv6 为接口终端节点启用, AWS 服务 必须支持通过访问 IPv6。有关更多信息,请参阅 [IP 地址类型](privatelink-access-aws-services.md#aws-service-ip-address-type)。
+ 为端点网络接口创建一个安全组,允许来自 VPC 资源的预期流量。例如,为确保 AWS CLI 可以向发送 HTTPS 请求 AWS 服务,安全组必须允许入站 HTTPS 流量。
+ 如果您的资源位于具有网络 ACL 的子网中,请验证网络 ACL 是否允许 VPC 和端点网络接口中的资源之间的流量。
+ 您的 AWS PrivateLink 资源有配额。有关更多信息,请参阅 [AWS PrivateLink 配额](vpc-limits-endpoints.md)。
## 创建 VPC 端点
使用以下过程创建连接到 AWS 服务的接口 VPC 端点。
**为创建接口终端节点 AWS 服务**
1. 打开位于 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 的 Amazon VPC 控制台。
1. 在导航窗格中,选择**端点**。
1. 选择 **创建端点**。
1. 对于**类型**,选择 **AWS 服务**。
1. (可选)如果 AWS 服务 在其他区域创建终端节点,请选中 “**启用跨区域终端节点**” 复选框,然后从下拉列表中选择**服务区域**。
1. 对于 **Service name**(服务名称),选择服务。有关更多信息,请参阅 [AWS 服务 与之集成 AWS PrivateLink](aws-services-privatelink-support.md)。
1. 对于 **VPC**,选择您要从中访问 AWS 服务的 VPC。
1. 如果您在步骤 5 中选择了 Amazon S3 的服务名称,并且想要配置[私有 DNS 支持](vpc-endpoints-s3.md#private-dns-s3),则请选择**其他设置**、**启用 DNS 名称**。当您做出此选择时,其还会自动选择**仅对入站端点启用私有 DNS**。您只能为 Amazon S3 的接口端点配置带有入站解析器端点的私有 DNS。如果您没有 Amazon S3 的网关端点,并且选择**仅为入站端点启用私有 DNS**,则在尝试执行此过程的最后一步时会收到错误消息。
如果您在步骤 5 中为除 Amazon S3 之外的所有服务都选择了服务名称,则表明已选择了**其他设置**、**启用 DNS 名称**。建议您保留默认值。这样可以确保使用公共服务终端节点的请求(例如通过 AWS SDK 发出的请求)解析到您的 VPC 终端节点。
1. 对于**子网**,选择要在其中创建端点网络接口的子网。您可为每个可用区选择一个子网。您无法从同一可用区中选择多个子网。有关更多信息,请参阅 [子网和可用区](privatelink-access-aws-services.md#aws-service-subnets-zones)。
默认情况下,我们选择子网 IP 地址范围中的 IP 地址,并将其分配给端点网络接口。要自己选择 IP 地址,请选择**指定 IP 地址**。请注意,子网 CIDR 块中的前四个 IP 地址和最后一个 IP 地址应保留供内部使用,因此您无法将它们指定用于端点网络接口。
1. 对于 **IP address type**(IP 地址类型),可从以下选项中进行选择:
+ **IPv4**— 为端点网络接口分配 IPv4 地址。仅当所有选定的子网都有 IPv4 地址范围并且服务接受 IPv4 请求时,才支持此选项。
+ **IPv6**— 为端点网络接口分配 IPv6 地址。仅当所有选定的子网仅为子网并且服务接受 IPv6 IPv6 请求时,才支持此选项。
+ **Dualstack** — 将 IPv4 和 IPv6 地址分配给端点网络接口。仅当所有选定的子网同时具有 IPv4 和 IPv6 地址范围并且服务同时接受 IPv4 和 IPv6 请求时,才支持此选项。
1. 对于**安全组**,选择要与端点网络接口关联的安全组。默认情况下,我们会关联 VPC 的默认安全组。
1. 对于**策略**,选择**完全访问权限**以允许所有主体通过接口端点对所有资源执行所有操作。要限制访问权限,请选择**自定义**并输入策略。该选项仅在服务支持 VPC 端点策略时可用。有关更多信息,请参阅 [端点策略](vpc-endpoints-access.md)。
1. (可选)若要添加标签,请选择**添加新标签**,然后输入该标签的键和值。
1. 选择**创建端点**。
**使用命令行创建接口端点**
+ [create-vpc-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-vpc-endpoint.html) (AWS CLI)
+ [New-EC2VpcEndpoint](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2VpcEndpoint.html)(适用于 Windows 的工具 PowerShell)
## 共享子网
您无法在与您共享的子网中创建、描述、修改或删除 VPC 端点。但是,您可以在与您共享的子网中使用 VPC 端点。
## ICMP
接口端点不对 **ping** 请求做出响应。您可以使用 **nc** 或 **nmap** 命令来代替。