本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 使用 存取 Amazon Verified Permissions AWS PrivateLink
<a name="vpc-interface-endpoints"></a>

您可以使用 在 VPC 和 Amazon Verified Permissions 之間 AWS PrivateLink 建立私有連線。您可以像在 VPC 中一樣存取已驗證的許可，無需使用網際網路閘道、NAT 裝置、VPN 連接或 Direct Connect 連線。VPC 中的執行個體不需要公有 IP 地址即可存取 Verified Permissions。

您可以建立由 AWS PrivateLink提供支援的*介面端點*來建立此私有連線。我們會在您為介面端點啟用的每個子網中建立端點網路介面。這些是請求者管理的網路介面，可做為目的地為 Verified Permissions 之流量的進入點。

如需詳細資訊，請參閱《*AWS PrivateLink 指南*》中的「[透過 AWS PrivateLink存取 AWS 服務](https://docs.aws.amazon.com/vpc/latest/privatelink/privatelink-access-aws-services.html)」。

## Verified Permissions 的考量事項
<a name="vpc-endpoint-considerations"></a>

在您設定 Verified Permissions 的介面端點之前，請檢閱《 *AWS PrivateLink 指南*》中的[考量事項](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#considerations-interface-endpoints)。

Verified Permissions 支援透過介面端點呼叫其所有 API 動作。

Verified Permissions 不支援 VPC 端點政策。根據預設，允許透過介面端點完整存取 Verified Permissions。或者，您可以將安全群組與端點網路介面建立關聯，以透過介面端點控制對已驗證許可的流量。

## 建立已驗證許可的介面端點
<a name="vpc-endpoint-create"></a>

您可以使用 Amazon VPC 主控台或 AWS Command Line Interface () 建立已驗證許可的介面端點AWS CLI。如需詳細資訊，請參閱《*AWS PrivateLink 指南*》中的「[建立介面端點](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#create-interface-endpoint-aws)」。

使用下列服務名稱建立已驗證許可的介面端點：

```
com.amazonaws.{{region}}.verifiedpermissions
```

如果您為介面端點啟用私有 DNS，您可以使用其預設的區域 DNS 名稱向已驗證許可提出 API 請求。例如 `verifiedpermissions.us-east-1.amazonaws.com`。

## 為您的介面端點建立端點政策
<a name="vpc-endpoint-policy"></a>

端點政策為 IAM 資源，您可將其連接至介面端點。預設端點政策允許透過介面端點完整存取 Verified Permissions。若要控制允許從您的 VPC 存取已驗證許可，請將自訂端點政策連接至介面端點。

端點政策會指定以下資訊：
+ 可執行動作 (AWS 帳戶、IAM 使用者和 IAM 角色) 的主體。
+ 可執行的動作。
+ 可供執行動作的資源。

如需詳細資訊，請參閱《*AWS PrivateLink 指南*》中的「[使用端點政策控制對服務的存取](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html)」。

**範例：已驗證許可動作的 VPC 端點政策**  
以下是自訂端點政策的範例。當您將此政策連接到介面端點時，它會授予所有資源上所有主體所列出的 Verified Permissions 動作的存取權。

```
{
   "Statement": [
      {
         "Principal": "*",
         "Effect": "Allow",
         "Action": [
            "verifiedpermissions:IsAuthorized",
            "verifiedpermissions:IsAuthorizedWithToken",
            "verifiedpermissions:GetPolicy"
         ],
         "Resource":"*"
      }
   ]
}
```