本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# AWS 服務 使用界面 VPC 端點存取
您可以建立介面 VPC 端點,以連線至由 提供支援的服務 AWS PrivateLink,包括許多 AWS 服務。如需概觀,請參閱 [AWS PrivateLink 概念](concepts.md) 和 [AWS 服務 透過 存取 AWS PrivateLink](privatelink-access-aws-services.md)。
對於您從 VPC 中指定的每個子網,我們會在子網中建立端點網路介面,並從子網地址範圍中為其指派私有 IP 地址。端點網路界面是請求者管理的網路介面;您可以在 AWS 帳戶中檢視它,但不能自己管理它。
我們會向您收取每小時用量率及資料處理費。如需詳細資訊,請參閱[界面端點定價](https://aws.amazon.com/privatelink/pricing/#Interface_Endpoint_pricing)。
**Topics**
+ [先決條件](#prerequisites-interface-endpoints)
+ [建立 VPC 端點](#create-interface-endpoint-aws)
+ [共用子網路](#interface-endpoint-shared-subnets)
+ [ICMP](#interface-endpoint-icmp)
## 先決條件
+ 部署將在 VPC AWS 服務 中存取 的資源。
+ 若要使用私有 DNS,您必須啟用 VPC 的 DNS 主機名稱和 DNS 解析。如需更多資訊,請參閱《Amazon VPC 使用者指南》中的[檢視和更新 DNS 屬性](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc-dns-updating)。**
+ 若要啟用介面端點的 IPv6, AWS 服務 必須支援透過 IPv6 存取。如需詳細資訊,請參閱[IP 地址類型](privatelink-access-aws-services.md#aws-service-ip-address-type)。
+ 為端點網路界面建立安全群組,允許來自 VPC 資源的預期流量。例如,為了確保 AWS CLI 可以將 HTTPS 請求傳送至 AWS 服務,安全群組必須允許傳入 HTTPS 流量。
+ 如果您的資源位於具有網路 ACL 的子網路中,請確認網路 ACL 允許 VPC 中的資源與端點網路介面之間的流量。
+ 資源上有配額 AWS PrivateLink 。如需詳細資訊,請參閱[AWS PrivateLink 配額](vpc-limits-endpoints.md)。
## 建立 VPC 端點
使用下列程序建立連線至 AWS 服務的介面 VPC 端點。
**為 建立介面端點 AWS 服務**
1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。
1. 在導覽窗格中選擇 **Endpoints (端點)**。
1. 選擇**建立端點**。
1. 在**類型**欄位中,選擇 **AWS 服務**。
1. (選用) 如果建立端點到另一個 AWS 服務 區域中的 ,請選取**啟用跨區域端點**核取方塊,然後從下拉式清單中選取**服務區域**。
1. 對於 **Service name** (服務名稱),請選取服務。如需詳細資訊,請參閱[AWS 服務 與 整合 AWS PrivateLink](aws-services-privatelink-support.md)。
1. 對於 **VPC**,請選取您要從中存取 AWS 服務的 VPC。
1. 如果您在步驟 5 中選取 Amazon S3 的服務名稱,並且想要設定[私有 DNS 支援](vpc-endpoints-s3.md#private-dns-s3),請選取**其他設定**、**啟用 DNS 名稱**。進行此選取後,系統會自動選取**僅針對傳入端點啟用私有 DNS**。您只能為 Amazon S3 的介面端點設定具有傳入 Resolver 端點的私有 DNS。如果您沒有 Amazon S3 的閘道端點,且選取**僅針對傳入端點啟用私有 DNS**,則您在嘗試執行此程序的最後一個步驟時會收到錯誤訊息。
如果您在步驟 5 中選取 Amazon S3 以外的任何服務的服務名稱,則系統會預設選取**其他設定**、**啟用 DNS 名稱**。建議您保留預設。這可確保使用公有服務端點的請求解析為您的 VPC 端點,例如透過 AWS SDK 提出的請求。
1. 對於**子網路**,選取要在其中建立端點網路介面的子網路。您可以為每個可用區域選擇一個子網路。您無法在相同的可用區域內選取多個子網路。如需詳細資訊,請參閱[子網路與可用區域](privatelink-access-aws-services.md#aws-service-subnets-zones)。
依預設,我們會從子網路 IP 地址範圍選取 IP 地址,並將它們指派給端點網路介面。若要自行選擇 IP 地址,請選取**指定 IP 地址**。請注意,子網路 CIDR 區塊中的前四個 IP 地址和最後一個 IP 地址會保留供內部使用,因此您無法為端點網路介面指定這些地址。
1. 針對 **IP address type** (IP 地址類型),從下列選項中選擇:
+ **IPv4** – 將 IPv4 地址指派給端點網路介面。只有當所有選取的子網路都具有 IPv4 地址範圍,且此服務接受 IPv4 請求時,才支援此選項。
+ **IPv6** – 將 IPv6 地址指派給端點網路介面。只有當所有選取的子網路都是僅限 IPv6 子網路,且此服務接受 IPv6 請求時,才支援此選項。
+ **Dualstack** – 將 IPv4 和 IPv6 地址指派給端點網路介面。只有當所有選取的子網路都具有 IPv4 和 IPv6 地址範圍,且此服務接受 IPv4 和 IPv6 請求時,才支援此選項。
1. 對於 **Security group** (安全群組),選取要與端點網路介面建立關聯的安全群組。根據預設,會與 VPC 的預設安全群組相關聯。
1. 針對**政策**,若要允許所有主體對界面端點上所有資源的所有操作,請選取**完整存取**。若要限制存取,請選取**自訂**並輸入政策。只有服務支援 VPC 端點政策時,此選項才可用。如需詳細資訊,請參閱[端點政策](vpc-endpoints-access.md)。
1. (選用) 若要新增標籤,請選擇 **Add new tag (新增標籤)**,然後輸入標籤的鍵和值。
1. 選擇**建立端點**。
**使用命令列建立介面端點**
+ [create-vpc-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-vpc-endpoint.html) (AWS CLI)
+ [New-EC2VpcEndpoint](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2VpcEndpoint.html) (Tools for Windows PowerShell)
## 共用子網路
無法在與您共用的子網路中建立、描述、修改或刪除 VPC 端點。不過,可以在與您共用的子網路中使用 VPC 端點。
## ICMP
介面端點不會回應**ping**請求。您可以改為使用 **nc**或 **nmap**命令。