AWS PrivateLink 適用於 Amazon Location 的 - Amazon Location Service
Amazon Location Service 的 Amazon VPC 端點類型使用 AWS PrivateLink for Amazon Location Service 時的考量事項建立 Amazon Location Service 的介面端點從 Amazon Location 介面端點存取 Amazon Location API 操作更新內部部署 DNS 組態為 Amazon Location 建立 Amazon VPC 端點政策

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AWS PrivateLink 適用於 Amazon Location 的

使用 AWS PrivateLink for Amazon Location,您可以在虛擬私有雲端 (Amazon VPC) 中佈建介面 Amazon VPC 端點 (介面端點)。這些端點可透過 VPN 和 或在不同的 Amazon VPC AWS 區域 對等 AWS Direct Connect互連內部部署的應用程式直接存取。 https://docs.aws.amazon.com/vpc/latest/peering/what-is-vpc-peering.html使用 AWS PrivateLink 和 介面端點,您可以簡化從應用程式到 Amazon Location 的私有網路連線。

VPC 中的應用程式不需要公有 IP 地址,即可與 Amazon Location 介面 VPC 端點通訊,以進行 Amazon Location 操作。介面端點由一或多個彈性網路介面 (ENIs) 表示,這些介面會從 Amazon VPC 中的子網路指派私有 IP 地址。透過界面端點對 Amazon Location 的請求會保留在 Amazon 網路上。您也可以透過 AWS Direct Connect 或 AWS Virtual Private Network (),從內部部署應用程式存取 Amazon VPC 中的介面端點AWS VPN。如需如何將 Amazon VPC 連線至內部部署網路的詳細資訊,請參閱 AWS Direct Connect 使用者指南AWS Site-to-Site VPN 使用者指南

如需介面端點的一般資訊,請參閱《 AWS PrivateLink 指南》中的介面 Amazon VPC 端點 (AWS PrivateLink)

Amazon Location Service 的 Amazon VPC 端點類型

您可以使用一種類型的 Amazon VPC 端點來存取 Amazon Location Service:介面端點 (使用 AWS PrivateLink)。介面端點使用私有 IP 地址,透過 AWS 區域 使用 Amazon VPC 對等互連,將請求從 Amazon VPC 內部、內部部署或其他 Amazon VPC 路由至 Amazon Location。如需詳細資訊,請參閱什麼是 Amazon VPC 對等互連?以及 Transit Gateway 與 Amazon VPC 對等互連

介面端點與閘道端點相容。如果您在 Amazon VPC 中有現有的閘道端點,您可以在相同的 Amazon VPC 中使用這兩種類型的端點。

Amazon Location 的界面端點具有下列屬性:

  • 您的網路流量會保留在 AWS 網路上

  • 從您的 Amazon VPC 使用私有 IP 地址存取 Amazon Location Service

  • 允許從內部部署存取

  • AWS 區域 使用 Amazon VPC 對等互連或 允許從另一個 中的 Amazon VPC 端點存取 AWS Transit Gateway

  • 介面端點已計費

Amazon VPC 考量適用於 AWS PrivateLink Amazon Location Service。如需詳細資訊,請參閱《AWS PrivateLink 指南》中的界面端點考量事項AWS PrivateLink 配額。此外,適用下列限制。

AWS PrivateLink for Amazon Location Service 不支援下列項目:

  • Transport Layer Security (TLS) 1.1

  • 私有和混合網域名稱系統 (DNS) 服務

Amazon VPC 端點:

  • 不支援 Amazon Location Service Maps API 操作,包括:GetSpritesGetGlyphsGetStyleDescriptor

  • 不支援跨區域請求。請確定您在計劃對 Amazon Location Service 發出 API 呼叫的相同區域中建立端點。

  • 僅支援透過 Amazon Route 53 的 Amazon 提供的 DNS。如果您想要使用自己的 DNS,請使用條件式 DNS 轉送。如需詳細資訊,請參閱《Amazon VPC 使用者指南》中的 DHCP 選項集

  • 必須允許連接埠 443 上透過連接到 VPC 端點的安全群組從 VPC 的私有子網路傳入連線

您可以為啟用的每個 AWS PrivateLink 端點每秒提交最多 50,000 個請求。

注意

AWS PrivateLink 端點的網路連線逾時不在 Amazon Location 錯誤回應範圍內,需要由連線至 AWS PrivateLink 端點的應用程式適當處理。

建立 Amazon Location Service 的介面端點

您可以使用 Amazon VPC 主控台或 AWS Command Line Interface () 為 Amazon Location Service 建立介面端點AWS CLI。如需詳細資訊,請參閱《AWS PrivateLink 指南》中的建立介面端點

有六個不同的 VPC 端點,Amazon Location Service 提供的每個功能各一個。

類別 端點
地圖

com.amazonaws.region.geo.maps
位置

com.amazonaws.region.geo.places
路由

com.amazonaws.region.geo.routes
地理圍欄

com.amazonaws.region.geo.geofencing
追蹤器

com.amazonaws.region.geo.tracking
中繼資料

com.amazonaws.region.geo.metadata

例如: 

com.amazonaws.us-east-2.geo.maps

建立端點之後,您可以選擇啟用私有 DNS 主機名稱。若要啟用,請在建立 VPC 端點時,在 Amazon VPC 主控台中選取啟用私有 DNS 名稱

如果您為介面端點啟用私有 DNS,您可以使用其預設的區域 DNS 名稱向 Amazon Location Service 服務提出 API 請求。下列範例顯示預設的區域 DNS 名稱格式。

  • maps.geo.region.amazonaws.com

  • places.geo.region.amazonaws.com

  • routes.geo.region.amazonaws.com

  • tracking.geo.region.amazonaws.com

  • geofencing.geo.region.amazonaws.com

  • metadata.geo.region.amazonaws.com

先前的 DNS 名稱適用於 IPv4 網域。下列 IPV6 DNS 名稱也可以用於介面端點。

  • maps.geo.region.api.aws

  • places.geo.region.api.aws

  • routes.geo.region.api.aws

  • tracking.geo.region.api.aws

  • geofencing.geo.region.api.aws

  • metadata.geo.region.api.aws

從 Amazon Location 介面端點存取 Amazon Location API 操作

您可以使用 AWS CLIAWS SDKs,透過 Amazon Location 介面端點存取 Amazon Location API 操作。

範例:建立 VPC 端點

aws ec2 create-vpc-endpoint \
--region us-east-1 \
--service-name location-service-name \
--vpc-id client-vpc-id \
--subnet-ids client-subnet-id \
--vpc-endpoint-type Interface \
--security-group-ids client-sg-id

範例:修改 VPC 端點

aws ec2 modify-vpc-endpoint \
--region us-east-1 \
--vpc-endpoint-id client-vpc-endpoint-id \
--policy-document policy-document \ #example optional parameter
--add-security-group-ids security-group-ids \ #example optional parameter 
# any additional parameters needed, see PrivateLink documentation for more details

更新內部部署 DNS 組態

使用端點特定 DNS 名稱存取 Amazon Location 的介面端點時,您不需要更新現場部署 DNS 解析程式。您可以從公有 Amazon Location DNS 網域使用介面端點的私有 IP 地址解析端點特定的 DNS 名稱。

使用界面端點存取 Amazon Location,而不需要閘道端點或 Amazon VPC 中的網際網路閘道

Amazon VPC 中的界面端點可以透過 Amazon 網路將 Amazon VPC 應用程式和內部部署應用程式路由至 Amazon Location。

為 Amazon Location 建立 Amazon VPC 端點政策

您可以將端點政策連接至控制 Amazon Location 存取的 Amazon VPC 端點。此政策會指定下列資訊:

  • 可執行動作的 AWS Identity and Access Management (IAM) 委託人

  • 可執行的動作

  • 可在其中執行動作的資源

範例:用於存取 Amazon Location Service Places APIs VPCe 政策:

{
	"Version": "2012-10-17",
	"Statement": [
		{
			"Sid": "Allow-access-to-location-service-places-opeartions",
			"Effect": "Allow",
			"Action": [
				"geo-places:*",
				"geo:*"
			],
			"Resource": [
				"arn:aws:geo-places:us-east-1::provider/default",
				"arn:aws:geo:us-east-1:*:place-index/*"
			]
		}
	]
}