本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
已啟用跨區域 AWS 服務
以下內容與跨區域 AWS 服務 整合 AWS PrivateLink。您可以建立界面端點,私下連接到另一個 AWS 區域中的這些服務,就像它們在您自己的 VPC 中執行一樣。
選擇 AWS 服務 欄中的連結以查看服務文件。服務名稱欄包含您在建立介面端點時指定的服務名稱。
| AWS 服務 | 服務名稱 |
|---|---|
| Amazon S3 | com.amazonaws.region.s3 |
| AWS Identity and Access Management (IAM) | com.amazonaws.iam |
| Amazon ECR | com.amazonaws.region.ecr.api |
com.amazonaws.region.ecr.dkr |
|
| AWS Key Management Service | com.amazonaws.region.kms |
com.amazonaws.region.kms-fips |
|
| Amazon ECS | com.amazonaws.region.ecs |
| AWS Lambda | com.amazonaws.region.lambda |
| Amazon Data Firehose | com.amazonaws.region.kinesis-firehose |
| Amazon Managed Service for Apache Flink | com.amazonaws.region.kinesisanalytics |
com.amazonaws.region.kinesisanalytics-fips |
|
| Amazon Route 53 | com.amazonaws.route53 |
檢視可用的 AWS 服務 名稱
您可以使用 describe-vpc-endpoint-services 命令來檢視跨區域啟用的服務。
下列範例顯示 us-east-1 區域中 AWS 服務 的使用者可透過界面端點存取指定 (us-west-2) 服務區域的 。--query 選項會將輸出限制為服務名稱。
aws ec2 describe-vpc-endpoint-services \ --filters Name=service-type,Values=Interface Name=owner,Values=amazon \ --regionus-east-1\ --service-regionus-west-2\ --query ServiceNames
下列為範例輸出。不會顯示完整的輸出。
[
"com.amazonaws.us-west-2.ecr.api",
"com.amazonaws.us-west-2.ecr.dkr",
"com.amazonaws.us-west-2.ecs",
"com.amazonaws.us-west-2.ecs-fips",
...
"com.amazonaws.us-west-2.s3"
]注意
您必須使用區域 DNS。 AWS 服務 在另一個區域中存取 時,不支援區域 DNS。如需詳細資訊,請參閱《Amazon VPC 使用者指南》中的檢視和更新 DNS 屬性。
許可和考量事項
-
根據預設,IAM 實體沒有在其他 AWS 服務 區域中存取 的許可。若要授予跨區域存取所需的許可,IAM 管理員可以建立允許僅限
vpce:AllowMultiRegion許可動作的 IAM 政策。 -
確保您的服務控制政策 (SCP) 不會拒絕僅限
vpce:AllowMultiRegion許可的動作。若要使用 AWS PrivateLink的跨區域連線功能,您的身分政策和 SCP 必須允許此動作。 -
若要控制 IAM 實體在建立 VPC 端點時可指定為服務區域的區域,請使用
ec2:VpceServiceRegion條件索引鍵。 -
服務消費者必須先選擇加入 區域,才能將其選取為端點的服務區域。我們建議服務消費者盡可能使用區域間連線來存取服務,而不是跨區域連線。區域間連線提供更低的延遲和更低的成本。
-
您可以使用 IAM 的新
aws:SourceVpcArn全域條件金鑰來保護您的資源可從哪些區域 AWS 帳戶 和 VPCs存取。此金鑰有助於實作資料落地和區域型存取控制。 -
為了高可用性,請在至少兩個可用區域中建立啟用跨區域的介面端點。在這種情況下,供應商和消費者不需要使用相同的可用區域。
-
透過跨區域存取, AWS PrivateLink 管理服務和消費者區域中可用區域之間的容錯移轉。它不會管理跨區域的容錯移轉。
-
下列可用區域不支援跨區域存取:
use1-az3、apne2-az2、、usw1-az2apne1-az3和apne2-az4。 -
您可以使用 AWS Fault Injection Service 來模擬區域內和跨區域啟用界面端點的區域事件和模型故障案例。若要進一步了解,請參閱 AWS FIS 文件。
建立介面端點到另一個區域中 AWS 服務 的
若要使用主控台建立介面端點,請參閱建立 VPC 端點一節。
在 CLI 中,您可以使用 create-vpc-endpoint 命令,將 VPC 端點建立到不同 AWS 服務 區域中的 。下列範例us-west-2會從 中的 VPC 建立 中 Amazon S3 的介面端點us-east-1。
aws ec2 create-vpc-endpoint \ --vpc-idvpc-id\ --service-name com.amazonaws.us-west-2.s3 \ --vpc-endpoint-type Interface \ --subnet-idssubnet-id-1 subnet-id-2\ --region us-east-1 \ --service-region us-west-2
