本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 將 Amazon Rekognition 與 Amazon VPC 端點搭配使用
<a name="vpc"></a>

如果您使用 Amazon Virtual Private Cloud (Amazon VPC) 來託管 AWS 資源，可以在 VPC 與 Amazon Rekognition 之間建立私人連線。您可以使用此連線來啟用 Amazon Rekognition 不用透過公有網際網路在 VPC 與您的資源進行通訊。

Amazon VPC 是一項 AWS 服務，您可用來在自己定義的虛擬網路中啟動 AWS 資源。您可利用 VPC 來控制您的網路設定，例如 IP 地址範圍、子網路、路由表和網路閘道。AWS 網路使用 VPC 端點處理 VPC 與 AWS 服務之間的路由。

若要將您的 VPC 連接到 Amazon Rekognition，請定義 Amazon Rekognition 的介面 VPC 端點。界面端點是具有私有 IP 地址的彈性網路界面，可做為目的地為支援 AWS 服務之流量的進入點。端點能為 Amazon Rekognition 提供可靠、可擴展性的連線，且無須使用網際網路閘道、網路位址轉譯 (NAT) 執行個體或 VPN 連接。如需詳細資訊，請參閱《*Amazon VPC 使用者指南》*中的[什麼是 Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/)。

界面 VPC 端點以 AWS PrivateLink 啟用。此 AWS 技術讓私有通訊使用於彈性網路介面與 AWS 服務之間的私有 IP 地址。

**注意**  
AWS PrivateLink 支援所有 Amazon Rekognition 美國聯邦資訊處理標準 (FIPS) 端點。

## 為 Amazon Rekognition 建立 Amazon VPC 端點
<a name="vpc-create-endpoint"></a>

您可以建立兩種 Amazon VPC 端點類型，搭配 Amazon Rekognition 使用。
+ 搭配 Amazon Rekognition 操作的 VPC 端點。這是適用於大部份使用者的最合適 VPC 端點類型。
+ 使用符合聯邦資訊處理標準 (FIPS) 第 140 - 2 號美國政府標準的端點，為 Amazon Rekognition 操作建立 VPC 端點。

若要搭配 VPC 開始使用 Amazon Rekognition，請使用 Amazon VPC 主控台為 Amazon Rekognition 建立界面 VPC 端點。如需說明，請參閱[建立界面端點](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#create-interface-endpoint)中的「使用主控台建立 AWS 服務的界面端點」。請記下下列步驟：
+ 步驟 3：在**服務類別**中，選擇 *AWS 服務*。
+ 步驟 4：在**服務名稱**中，選擇以下其中一個選項：
  + *com.amazonaws.region.rekognition*：為 Amazon Rekognition 操作建立 VPC 端點。
  + *com.amazonaws.region.rekognition-fips*：使用符合聯邦資訊處理標準 (FIPS) 第 140 - 2 號美國政府標準的端點，為 Amazon Rekognition 操作建立 VPC 端點。

如需詳細資訊，請參閱《*Amazon VPC 使用者指南*》中的[入門](https://docs.aws.amazon.com/vpc/latest/userguide/GetStarted.html)。

 

## 為 Amazon Rekognition 建立 VPC 端點政策。
<a name="api-private-link-policy"></a>

您可以為 Amazon Rekognition 的 Amazon VPC 端點建立政策，以指定下列各項：
+ 可執行動作的主體。
+ 可執行的動作。
+ 可供執行動作的資源。

如需詳細資訊，請參閱 *Amazon VPC 使用者指南*中的[使用 VPC 端點控制服務的存取](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html)。

以下範例政策可讓使用者透過 VPC 端點連線到 Amazon Rekognition，以呼叫 `DetectFaces` API 操作。此政策可防止使用者，使其無法透過 VPC 端點執行其他 Amazon Rekognition API 操作。

使用者仍然可以在 VPC 以外呼叫其他 Amazon Rekognition API 操作。如需如何拒絕存取 VPC 以外之 Amazon Rekognition API 操作的詳細資訊，請參閱 [Amazon Rekognition 身分型政策](security_iam_service-with-iam.md#security_iam_service-with-iam-id-based-policies)。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": [
                "rekognition:DetectFaces"
            ],
            "Resource": "*",
            "Effect": "Allow",
            "Principal": "*"
        }
    ]
}
```

------

**修改 Amazon Rekognition 的 VPC 端點政策**

1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。

1. 如果您尚未建立 Amazon Rekognition 的端點，請選擇**建立端點**。然後選取 **com.amazonaws.*Region*.rekognition**，然後選擇 **Create endpoint (建立端點)**。

1. 在導覽窗格中選擇**端點**。

1. 選取 **com.amazonaws.*Region*.rekognition** 端點，然後選擇螢幕下半部的 **Policy (政策)** 標籤。

1. 選擇 **Edit Policy (編輯政策)**，並對政策做出變更。