本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 在 Amazon EFS 中使用介面 VPC 端點
若要建立虛擬私有雲端 (VPC) 和 Amazon EFS API 之間的私有連線,您可以建立介面 VPC 端點。端點可提供 Amazon EFS API 的安全連線,而不需要網際網路閘道、NAT 執行個體或虛擬私有網路 (VPN) 連線。如需詳細資訊,請參閱[《Amazon VPC 使用者指南》中的使用介面 VPC 端點存取 AWS 服務](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html)。 **
介面 VPC 端點採用 AWS PrivateLink,此功能可使用私有 IP 地址在 AWS 服務之間進行私有通訊。若要使用 AWS PrivateLink,請使用 Amazon VPC 主控台、API 或 CLI 在 VPC 中建立 Amazon EFS 的介面 VPC 端點。這會在您的子網路中建立包含私有 IP 地址的彈性網路介面,用於完成 Amazon EFS API 要求。您也可以使用 或 VPC 對等 Direct Connect互連 VPCs Site-to-Site VPN,從內部部署環境或其他 VPC 存取 VPC 端點。若要進一步了解,請參閱《*Amazon* [VPC 使用者指南》中的使用 將您的 VPC 連接到 服務 AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/userguide/endpoint-services-overview.html)。
## 建立 Amazon EFS 的介面端點
若要為 Amazon EFS 建立介面 VPC 端點,請使用以下其中一種方式:
+ `com.amazonaws.{{region}}.elasticfilesystem`:為 Amazon EFS API 操作建立一個端點。
+ **`com.amazonaws.{{region}}.elasticfilesystem-fips`**:建立 Amazon EFS API 端點時,應遵守[聯邦資訊處理標準 (FIPS) 140-2](https://aws.amazon.com/compliance/fips/)。
如需 Amazon EFS 端點的完整清單,請參閱《》中的 [Amazon Elastic File System 端點和配額](https://docs.aws.amazon.com/general/latest/gr/elasticfilesystem.html)*Amazon Web Services 一般參考*。
如需如何建立介面端點的詳細資訊,請參閱《*Amazon* [VPC 使用者指南》中的使用介面 VPC 端點存取 AWS 服務](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html)。
## 為 Amazon EFS 建立 VPC 端點政策
若要控制對 Amazon EFS API 的存取,您可以將 AWS Identity and Access Management (IAM) 政策連接至 VPC 端點。此政策會指定以下項目:
+ 可執行動作的主體。
+ 可執行的動作。
+ 可供執行動作的資源。
如需詳細資訊,請參閱《Amazon VPC 使用者指南》**中的[使用端點政策控制 VPC 端點的存取](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html)。
下列範例顯示 VPC 端點政策,拒絕所有人透過端點建立 EFS 檔案系統的權限。範例政策也會授予所有人執行所有其他動作的許可。
```
{
"Statement": [
{
"Action": "*",
"Effect": "Allow",
"Resource": "*",
"Principal": "*"
},
{
"Action": "elasticfilesystem:CreateFileSystem",
"Effect": "Deny",
"Resource": "*",
"Principal": "*"
}
]
}
```