Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Partagez vos services via AWS PrivateLink
Vous pouvez héberger votre propre service AWS PrivateLink optimisé, appelé *service de point de terminaison*, et le partager avec d'autres AWS clients.
**Topics**
+ [Présentation de](#endpoint-service-overview)
+ [Noms d'hôte DNS](#endpoint-service-dns-hostnames)
+ [DNS privé](#endpoint-service-private-dns)
+ [Sous-réseaux et zones de disponibilité](#endpoint-service-subnets-zones)
+ [Accès interrégional](#endpoint-service-cross-region)
+ [Types d'adresses IP](#endpoint-service-ip-address-type)
+ [Création d'un service de point de terminaison](create-endpoint-service.md)
+ [Configuration d'un service de point de terminaison](configure-endpoint-service.md)
+ [Gestion des noms DNS](manage-dns-names.md)
+ [Réception d'alertes pour les événements relatifs au service de point de terminaison](create-notification-endpoint-service.md)
+ [Suppression d'un service de point de terminaison](delete-endpoint-service.md)
## Présentation de
Le schéma suivant montre comment vous partagez votre service hébergé AWS avec d'autres AWS clients, et comment ces clients se connectent à votre service. En tant que fournisseur du service, vous créez un Network Load Balancer (équilibreur de charge de réseau) dans votre VPC comme frontal du service. Vous sélectionnez ensuite cet équilibreur de charge lorsque vous configurez le service de point de terminaison d’un VPC. Vous accordez l'autorisation à des principaux AWS spécifiques afin qu'ils puissent se connecter à votre service. En tant que consommateur du service, le client crée un point de terminaison d’un VPC d'interface, qui établit des connexions entre les sous-réseaux qu'il sélectionne dans son VPC et votre service de point de terminaison. L'équilibreur de charge reçoit les demandes du consommateur du service et les achemine vers les cibles hébergeant votre service.
![\[Les consommateurs de services se connectent aux services de terminaux hébergés par des fournisseurs de services.\]](http://docs.aws.amazon.com/fr_fr/vpc/latest/privatelink/images/endpoint-services.png)
Pour une faible latence et une haute disponibilité, nous vous recommandons de rendre votre service disponible dans au moins deux zones de disponibilité.
## Noms d'hôte DNS
Lorsqu'un fournisseur de services crée un service de point de terminaison VPC, il AWS génère un nom d'hôte DNS spécifique au point de terminaison pour le service. Les noms ont la syntaxe suivante :
```
endpoint_service_id.region.vpce.amazonaws.com
```
Voici un exemple de nom d'hôte DNS pour un service de point de terminaison d’un VPC dans la Région us-east-2 :
```
vpce-svc-071afff70666e61e0.us-east-2.vpce.amazonaws.com
```
Lorsqu'un consommateur de services crée un point de terminaison d’un VPC d'interface, nous créons des noms DNS régionaux et zonaux que le consommateur du service peut utiliser pour communiquer avec le service de point de terminaison. Les noms régionaux ont la syntaxe suivante :
```
endpoint_id.endpoint_service_id.service_region.vpce.amazonaws.com
```
Les noms zonaux ont la syntaxe suivante :
```
endpoint_id-endpoint_zone.endpoint_service_id.service_region.vpce.amazonaws.com
```
## DNS privé
Un fournisseur du service peut également associer un nom DNS privé à son service de point de terminaison, afin que les consommateurs du service puissent continuer à accéder au service en utilisant son nom DNS existant. Si le fournisseur du service associe un nom DNS privé à son service de point de terminaison, les consommateurs du service peuvent activer les noms DNS privés pour leurs points de terminaison d'interface. Si le fournisseur du service n'active pas le DNS privé, les consommateurs du service devront peut-être mettre à jour leurs applications afin d'utiliser le nom DNS public pour le service de point de terminaison d’un VPC. Pour de plus amples informations, veuillez consulter [Gestion des noms DNS](manage-dns-names.md).
## Sous-réseaux et zones de disponibilité
Votre service de point de terminaison est disponible dans les zones de disponibilité que vous activez pour votre Network Load Balancer. Pour une disponibilité et une résilience élevées, nous vous recommandons d'activer votre équilibreur de charge dans au moins deux zones de disponibilité, de déployer des instances EC2 dans chaque zone activée et d'enregistrer ces instances auprès du groupe cible de votre équilibreur de charge.
Vous pouvez activer l'équilibrage de charge entre zones comme alternative à l'hébergement de votre service de point de terminaison dans plusieurs zones de disponibilité. Toutefois, les consommateurs perdront l'accès au service de point de terminaison depuis les deux zones en cas de défaillance de la zone qui héberge le service de point de terminaison. Sachez également que lorsque vous activez l'équilibrage de charge entre zones pour un Network Load Balancer, des frais de transfert de données EC2 s'appliquent.
Le consommateur peut créer des points de terminaison VPC d'interface dans les zones de disponibilité dans lesquelles votre service de point de terminaison est disponible. Nous créons une interface réseau de point de terminaison dans chaque sous-réseau que le consommateur configure pour le point de terminaison VPC. Nous attribuons des adresses IP à chaque interface réseau de point de terminaison à partir de son sous-réseau, en fonction du type d'adresse IP du point de terminaison d'un VPC. Lorsqu'une demande utilise le point de terminaison régional pour le service de point de terminaison VPC, nous sélectionnons une interface réseau de point de terminaison saine, en utilisant l'algorithme Round Robin pour alterner entre les interfaces réseau des différentes zones de disponibilité. Nous résolvons ensuite le trafic vers l'adresse IP de l'interface réseau du point de terminaison sélectionné.
Le consommateur peut utiliser les points de terminaison zonaux pour le point de terminaison VPC s'il est préférable, pour son cas d'utilisation, de maintenir le trafic dans la même zone de disponibilité.
## Accès interrégional
Un fournisseur de services peut héberger un service dans une région et le rendre disponible dans un ensemble de régions prises en charge. Un consommateur de services sélectionne une région de service lors de la création d'un point de terminaison.
**Permissions**
+ Par défaut, les entités IAM ne sont pas autorisées à rendre un service de point de terminaison disponible dans plusieurs régions ou à accéder à un service de point de terminaison dans plusieurs régions. Pour accorder les autorisations requises pour l'accès entre régions, un administrateur IAM peut créer des politiques IAM qui autorisent l'`vpce:AllowMultiRegion`action avec autorisation uniquement.
+ Pour contrôler les régions qu'une entité IAM peut spécifier comme région prise en charge lors de la création d'un service de point de terminaison, utilisez la clé de `ec2:VpceSupportedRegion` condition.
+ Pour contrôler les régions qu'une entité IAM peut spécifier en tant que région de service lors de la création d'un point de terminaison VPC, utilisez `ec2:VpceServiceRegion` la clé de condition.
**Considérations**
+ Un fournisseur de services doit choisir une région optionnelle avant de l'ajouter en tant que région prise en charge pour un service de point de terminaison.
+ Votre service de point de terminaison doit être accessible depuis sa région hôte. Vous ne pouvez pas supprimer la région hôte de l'ensemble des régions prises en charge. À des fins de redondance, vous pouvez déployer votre service de point de terminaison dans plusieurs régions et activer l'accès entre régions pour chaque service de point de terminaison.
+ Un consommateur de services doit choisir une région optionnelle avant de la sélectionner comme région de service pour un terminal. Dans la mesure du possible, nous recommandons aux consommateurs d'accéder à un service en utilisant la connectivité intra-régionale plutôt que la connectivité interrégionale. La connectivité intra-régionale permet de réduire la latence et les coûts.
+ Si un fournisseur de services supprime une région de l'ensemble des régions prises en charge, les consommateurs de services ne peuvent pas sélectionner cette région comme région de service lorsqu'ils créent de nouveaux points de terminaison. Notez que cela n'affecte pas l'accès au service de point de terminaison à partir de points de terminaison existants qui utilisent cette région comme région de service.
+ Pour garantir une haute disponibilité, les fournisseurs doivent utiliser au moins deux zones de disponibilité. L'accès interrégional n'exige pas que les fournisseurs et les consommateurs utilisent les mêmes zones de disponibilité.
+ L'accès entre régions n'est pas pris en charge pour les zones de disponibilité suivantes : `use1-az3``usw1-az2`,`apne1-az3`,`apne2-az2`, et`apne2-az4`.
+ Avec un accès interrégional, AWS PrivateLink gère le basculement entre les zones de disponibilité. Il ne gère pas le basculement entre les régions.
+ L'accès entre régions n'est pas pris en charge pour les équilibreurs de charge réseau dont une valeur personnalisée est configurée pour le délai d'inactivité TCP.
+ L'accès entre régions n'est pas pris en charge avec la fragmentation UDP.
+ L'accès entre régions n'est pris en charge que pour les services que vous partagez. AWS PrivateLink
## Types d'adresses IP
Les fournisseurs de services peuvent mettre leurs points de terminaison de service à la disposition des consommateurs de services IPv4 IPv6, ou IPv4 les deux IPv6, même si leurs serveurs principaux sont uniquement compatibles. IPv4 Si vous activez le support dualstack, les clients existants peuvent continuer IPv4 à utiliser votre service et les nouveaux consommateurs peuvent choisir de l'utiliser pour accéder IPv6 à votre service.
Si un point de terminaison VPC prend en charge une interface IPv4, les interfaces réseau du point de terminaison ont IPv4 des adresses. Si un point de terminaison VPC prend en charge une interface IPv6, les interfaces réseau du point de terminaison ont IPv6 des adresses. L' IPv6 adresse d'une interface réseau de point de terminaison n'est pas accessible depuis Internet. Si vous décrivez une interface réseau de point de terminaison avec une IPv6 adresse, notez qu'elle `denyAllIgwTraffic` est activée.
**Conditions requises IPv6 pour activer un service de point de terminaison**
+ Le VPC et les sous-réseaux du service de point de terminaison doivent être associés à IPv6 des blocs CIDR.
+ Tous les équilibreurs de charge de réseau Network Load Balancers du service de point de terminaison doivent utiliser le type d'adresse IP dualstack. Les cibles n'ont pas besoin de prendre en charge IPv6 le trafic. Si le service traite les adresses IP sources à partir de l'en-tête du protocole proxy version 2, il doit traiter IPv6 les adresses.
**Conditions requises IPv6 pour activer un point de terminaison d'interface**
+ Le service de point de terminaison doit prendre en charge IPv6 les demandes.
+ Le type d'adresse IP d'un point de terminaison d'interface doit être compatible avec les sous-réseaux du point de terminaison d'interface, comme décrit ici :
+ **IPv4**— Attribuez IPv4 des adresses aux interfaces réseau de vos terminaux. Cette option n'est prise en charge que si tous les sous-réseaux sélectionnés possèdent des plages d' IPv4 adresses.
+ **IPv6**— Attribuez IPv6 des adresses aux interfaces réseau de vos terminaux. Cette option n'est prise en charge que si tous les sous-réseaux sélectionnés IPv6 ne sont que des sous-réseaux.
+ **Dualstack** — Attribuez à la fois des IPv6 adresses IPv4 et des adresses aux interfaces réseau de vos terminaux. Cette option n'est prise en charge que si tous les sous-réseaux sélectionnés possèdent à la fois des plages d' IPv6 adresses IPv4 et des plages d'adresses.
**Type d'adresse IP d'enregistrement DNS pour un point de terminaison d'interface**
Le type d'adresse IP d'enregistrement DNS pris en charge par un point de terminaison d'interface détermine les enregistrements DNS que nous créons. Le type d'adresse IP de l'enregistrement DNS d'un point de terminaison d'interface doit être compatible avec le type d'adresse IP du point de terminaison d'interface, comme décrit ici :
+ **IPv4**— Créez des enregistrements A pour les noms DNS privés, régionaux et zonaux. Le type d'adresse IP doit être **IPv4**ou **Dualstack**.
+ **IPv6**— Créez des enregistrements AAAA pour les noms DNS privés, régionaux et zonaux. Le type d'adresse IP doit être **IPv6**ou **Dualstack**.
+ **Dualstack** – Créez des enregistrements A et AAAA pour les noms DNS privés, régionaux et zonaux. Le type d'adresse IP doit être **Dualstack**.
# Créez un service propulsé par AWS PrivateLink
Vous pouvez créer votre propre service alimenté par AWS PrivateLink, connu sous le nom de *service de point de terminaison*. Vous êtes le fournisseur du service et les principaux AWS qui créent des connexions à votre service sont les consommateurs du service.
Les services de point de terminaison nécessitent un Network Load Balancer (équilibreur de charge de réseau) ou un Gateway Load Balancer (équilibreur de charge de passerelle). L'équilibreur de charge reçoit des requêtes des consommateurs du service et les achemine vers votre service. Dans ce cas, vous allez créer un service de point de terminaison à l'aide d'un équilibreur de charge réseau Network Load Balancer. Pour plus d'informations sur la création d'un service de point de terminaison à l'aide d'un équilibreur de charge de passerelle Gateway Load Balancer, voir [Accès à des dispositifs virtuels](vpce-gateway-load-balancer.md).
**Topics**
+ [Considérations](#considerations-endpoint-services)
+ [Conditions préalables](#prerequisites-endpoint-services)
+ [Création d'un service de point de terminaison](#create-endpoint-service-nlb)
+ [Mettre le service de point de terminaison à la disposition des consommateurs du service](#share-endpoint-service)
+ [Connexion à un service de point de terminaison en tant que consommateur du service](#connect-to-endpoint-service)
## Considérations
+ Le service de point de terminaison n'est disponible que dans la Région où vous l'avez créé. Les consommateurs peuvent accéder à votre service depuis d'autres régions si vous activez l'[accès interrégional](privatelink-share-your-services.md#endpoint-service-cross-region), ou s'ils utilisent le peering VPC ou une passerelle de transit.
+ Lorsque les consommateurs du service extraient des informations sur un service de point de terminaison, ils ne peuvent voir que les zones de disponibilité qu'ils ont en commun avec le fournisseur du service. Lorsque le fournisseur du service et le consommateur du service se trouvent dans des comptes différents, un nom de zone de disponibilité, tel que `us-east-1a`, peut être mappé à une zone de disponibilité physique différente dans chaque Compte AWS. Vous pouvez utiliser AZ IDs pour identifier de manière cohérente les zones de disponibilité de votre service. Pour plus d'informations, consultez [AZ IDs](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-regions-availability-zones.html#az-ids) dans le guide de l'*utilisateur Amazon EC2*.
+ Lorsque les consommateurs du service envoient du trafic vers un service via un point de terminaison d'interface, les adresses IP sources fournies à l'application sont les adresses IP privées des nœuds de l'équilibreur de charge, et non les adresses IP des consommateurs du service. Si vous activez le protocole proxy sur l'équilibreur de charge, vous pouvez obtenir les adresses des consommateurs de services et les points de terminaison IDs de l'interface à partir de l'en-tête du protocole proxy. Pour de plus amples informations, veuillez consulter le [protocole proxy](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/load-balancer-target-groups.html#proxy-protocol) dans le *Guide de l'utilisateur des Network Load Balancers*.
+ Un Network Load Balancer peut être associé à un seul service de point de terminaison, mais un service de point de terminaison peut être associé à plusieurs Network Load Balancers.
+ Si un service de point de terminaison est associé à plusieurs Network Load Balancers, chaque interface réseau de point de terminaison à un équilibreur de charge. Lorsque la première connexion à partir d'une interface réseau de point de terminaison est lancée, nous sélectionnons au hasard l'un des Network Load Balancers situés dans la même zone de disponibilité que l'interface réseau du point de terminaison. Toutes les demandes de connexion suivantes à partir de cette interface réseau de point de terminaison utilisent l'équilibreur de charge sélectionné. Nous vous recommandons d'utiliser la même configuration d'écouteur et de groupe cible pour tous les équilibreurs de charge d'un service de point de terminaison, afin que les utilisateurs puissent le service quel que soit l'équilibreur de charge choisi.
+ Vos AWS PrivateLink ressources sont soumises à des quotas. Pour de plus amples informations, veuillez consulter [AWS PrivateLink quotas](vpc-limits-endpoints.md).
## Conditions préalables
+ Créez un VPC pour votre service de point de terminaison avec au moins un sous-réseau dans chaque zone de disponibilité dans laquelle le service doit être disponible.
+ Pour permettre aux consommateurs de services de créer des points de terminaison VPC d' IPv6 interface pour votre service de point de terminaison, le VPC et les sous-réseaux doivent être associés à des blocs CIDR. IPv6
+ Créez un équilibreur de charge de réseau Network Load Balancer dans votre VPC. Sélectionnez un sous-réseau par zone de disponibilité dans lequel le service doit être disponible pour les consommateurs. Pour une faible latence et tolérance aux pannes, nous vous recommandons de rendre votre service disponible dans toutes les zones de disponibilité de la région.
+ Si votre Network Load Balancer possède un groupe de sécurité, il doit autoriser le trafic entrant provenant des adresses IP des clients. Vous pouvez également désactiver l'évaluation des règles des groupes de sécurité entrants pour le trafic entrant. AWS PrivateLink Pour plus d'informations, consultez [la section Groupes de sécurité](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/load-balancer-security-groups.html) dans le *Guide de l'utilisateur pour les équilibreurs de charge réseau*.
+ Pour permettre à votre service de point de terminaison d'accepter les IPv6 demandes, ses équilibreurs de charge réseau doivent utiliser le type d'adresse IP à double pile. Les cibles n'ont pas besoin de prendre en charge IPv6 le trafic. Pour plus d'informations, consultez la section [Type d'adresse IP](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/network-load-balancers.html#ip-address-type) du *Guide de l'utilisateur des équilibreurs de charge de réseau Network Load Balancer*.
Si vous traitez des adresses IP sources à partir de l'en-tête du protocole proxy version 2, vérifiez que vous pouvez traiter IPv6 les adresses.
+ Lancez des instances dans chaque zone de disponibilité dans laquelle le service doit être disponible et enregistrez-les dans un groupe cible d'équilibreurs de charge. Si vous ne lancez pas d'instances dans toutes les zones de disponibilité activées, vous pouvez activer l'équilibrage de charge entre zones pour prendre en charge les consommateurs du service qui utilisent des noms d'hôte DNS zonaux pour accéder au service. Des frais de transfert régional de données s'appliquent lorsque vous activez l'équilibrage de charge entre zones. Pour plus d'informations, consultez la [section Équilibrage de charge entre zones](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/network-load-balancers.html#cross-zone-load-balancing) dans le *Guide de l'utilisateur pour les équilibreurs de charge réseau*.
## Création d'un service de point de terminaison
Utilisez la procédure suivante pour créer un service de point de terminaison à l'aide d'un équilibreur de charge de réseau Network Load Balancer.
**Pour créer un service de point de terminaison à l'aide de la console**
1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Dans le volet de navigation, choisissez **Endpoint Services (Services de point de terminaison)**.
1. Choisissez **Create endpoint service** (Créer un service de point de terminaison).
1. Pour **Load balancer type** (Type d'équilibreur de charge), choisissez **Network** (Réseau).
1. Pour **Équilibreurs de charge disponibles**, sélectionnez les Network Load Balancers à associer au service du point de terminaison. Pour voir les zones de disponibilité activées pour l'équilibreur de charge que vous avez sélectionné, voir **Détails des équilibreurs de charge sélectionnés**, Zones de **disponibilité incluses**. Votre service de point de terminaison sera disponible dans ces zones de disponibilité.
1. (Facultatif) Pour rendre votre service de point de terminaison disponible depuis des régions autres que la région où il est hébergé, sélectionnez les régions dans les **régions de service**. Pour de plus amples informations, veuillez consulter [Accès interrégional](privatelink-share-your-services.md#endpoint-service-cross-region).
1. Dans la section **Require acceptance for endpoint** (Acceptation requise pour le point de terminaison), sélectionnez **Acceptance required** (Acceptation requise) pour exiger que les demandes de connexion à votre service de point de terminaison soient acceptées manuellement. Sinon, ces requêtes sont acceptées automatiquement.
1. Pour **Enable private DNS name** (Activer le nom DNS privé), sélectionnez **Associate a private DNS name with the service** (Associer un nom DNS privé au service) pour associer un nom DNS privé que les consommateurs du service peuvent utiliser pour accéder à votre service, puis saisissez le nom DNS privé. Dans le cas contraire, les consommateurs de services peuvent utiliser le nom DNS spécifique au point de terminaison fourni par. AWS Le fournisseur du service doit vérifier qu'il est le propriétaire du domaine de nom DNS privé pour que les consommateurs puissent utiliser le nom DNS privé. Pour de plus amples informations, veuillez consulter [Gestion des noms DNS](manage-dns-names.md).
1. Pour **Supported IP address types** (Types d'adresse IP pris en charge), effectuez l'une des opérations suivantes :
+ Sélectionner **IPv4**— Activez le service de point de terminaison pour qu'il accepte les IPv4 demandes.
+ Sélectionner **IPv6**— Activez le service de point de terminaison pour qu'il accepte les IPv6 demandes.
+ Sélectionnez **IPv4**et **IPv6**— Activez le service de point de terminaison pour qu'il accepte à la fois les IPv6 demandes IPv4 et.
1. (Facultatif) Pour ajouter une identification, choisissez **Add new tag** (Ajouter une identification) et saisissez la clé et la valeur de l'identification.
1. Choisissez **Créer**.
**Pour créer un service de point de terminaison à l'aide de la ligne de commande**
+ [create-vpc-endpoint-service-configuration](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-vpc-endpoint-service-configuration.html) ()AWS CLI
+ [New-EC2VpcEndpointServiceConfiguration](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2VpcEndpointServiceConfiguration.html)(Outils pour Windows PowerShell)
## Mettre le service de point de terminaison à la disposition des consommateurs du service
AWS les principaux peuvent se connecter à votre service de point de terminaison en privé en créant un point de terminaison VPC d'interface. Les fournisseurs du service doivent faire ce qui suit pour mettre leurs services à la disposition des consommateurs du service.
+ Ajoutez des autorisations qui permettent à chaque utilisateur de se connecter à votre service de point de terminaison. Pour de plus amples informations, veuillez consulter [Gestion des autorisations](configure-endpoint-service.md#add-remove-permissions).
+ Fournissez au consommateur du service le nom de votre service et les zones de disponibilité prises en charge afin qu'il puisse créer un point de terminaison d'interface pour se connecter à votre service. Pour de plus amples informations, veuillez consulter [Connexion à un service de point de terminaison en tant que consommateur du service](#connect-to-endpoint-service).
+ Acceptez la demande de connexion au point de terminaison de la part du consommateur du service. Pour de plus amples informations, veuillez consulter [Acceptation ou refus des demandes de connexion](configure-endpoint-service.md#accept-reject-connection-requests).
## Connexion à un service de point de terminaison en tant que consommateur du service
Un consommateur du service utilise la procédure suivante pour créer un point de terminaison d'interface afin de se connecter à votre service de terminaison.
**Pour créer un point de terminaison d'interface à l'aide de la console**
1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Dans le panneau de navigation, choisissez **Points de terminaison**.
1. Choisissez **Créer un point de terminaison**.
1. Pour **Type**, choisissez les **services Endpoint qui utilisent NLBs et GWLBs**.
1. Dans **Nom du service**, entrez le nom du service (par exemple,`com.amazonaws.vpce.us-east-1.vpce-svc-0e123abc123198abc`), puis choisissez **Vérifier le service**.
1. (Facultatif) Pour vous connecter à un service de point de terminaison disponible dans une région autre que la région du point de terminaison, sélectionnez **Région de service**, **Activer le point de terminaison interrégional**, puis sélectionnez la région. Pour de plus amples informations, veuillez consulter [Accès interrégional](privatelink-share-your-services.md#endpoint-service-cross-region).
1. Pour le **VPC**, sélectionnez le VPC à partir duquel vous allez accéder au service de point de terminaison.
1. Pour les **sous-réseaux**, sélectionnez les sous-réseaux dans lesquels vous souhaitez créer les interfaces réseau des points de terminaison.
1. Pour **IP address type** (Type d'adresse IP), choisissez l'une des options suivantes :
+ **IPv4**— Attribuez IPv4 des adresses aux interfaces réseau des terminaux. Cette option n'est prise en charge que si tous les sous-réseaux sélectionnés ont des plages d' IPv4 adresses et si le service de point de terminaison accepte les IPv4 demandes.
+ **IPv6**— Attribuez IPv6 des adresses aux interfaces réseau des terminaux. Cette option n'est prise en charge que si tous les sous-réseaux sélectionnés IPv6 ne sont que des sous-réseaux et que le service de point de terminaison accepte IPv6 les demandes.
+ **Dualstack** — Attribuez à la fois des IPv6 adresses IPv4 et des adresses aux interfaces réseau des terminaux. Cette option n'est prise en charge que si tous les sous-réseaux sélectionnés possèdent à la fois des plages d' IPv6 adresses IPv4 et si le service de point de terminaison accepte à la fois les IPv6 demandes IPv4 et les demandes.
1. Dans **DNS record IP type** (Type d'IP d'enregistrement DNS), choisissez l'une des options suivantes :
+ **IPv4**— Créez des enregistrements A pour les noms DNS privés, régionaux et zonaux. Le type d'adresse IP doit être **IPv4**ou **Dualstack**.
+ **IPv6**— Créez des enregistrements AAAA pour les noms DNS privés, régionaux et zonaux. Le type d'adresse IP doit être **IPv6**ou **Dualstack**.
+ **Dualstack** – Créez des enregistrements A et AAAA pour les noms DNS privés, régionaux et zonaux. Le type d'adresse IP doit être **Dualstack**.
+ **Service défini** – Créez des enregistrements A pour les noms DNS privés, régionaux et zonaux et des enregistrements AAAA pour les noms DNS régionaux et zonaux. Le type d'adresse IP doit être **Dualstack**.
1. Pour **Groupe de sécurité**, sélectionnez les groupes de sécurité à associer aux interfaces réseau du point de terminaison.
1. Choisissez **Créer un point de terminaison**.
**Pour créer un point de terminaison d'interface à l'aide de la ligne de commande**
+ [create-vpc-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-vpc-endpoint.html) (AWS CLI)
+ [New-EC2VpcEndpoint](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2VpcEndpoint.html)(Outils pour Windows PowerShell)
# Configuration d'un service de point de terminaison
Après avoir créé un service de point de terminaison, vous pouvez mettre à jour sa configuration.
**Topics**
+ [Gestion des autorisations](#add-remove-permissions)
+ [Acceptation ou refus des demandes de connexion](#accept-reject-connection-requests)
+ [Gérez les équilibreurs de charge](#associate-load-balancer)
+ [Association d'un nom DNS privé](#associate-private-dns-name)
+ [Modifier les régions prises en charge](#manage-supported-regions)
+ [Modification des types d'adresses IP pris en charge](#supported-ip-address-types)
+ [Gestion des balises](#add-remove-endpoint-service-tags)
## Gestion des autorisations
La combinaison des autorisations et des paramètres d'acceptation vous permet de contrôler les consommateurs de services (AWS principaux) autorisés à accéder à votre service de point de terminaison. Par exemple, vous pouvez accorder des autorisations à des principaux spécifiques en qui vous avez confiance et accepter automatiquement toutes les demandes de connexion, ou vous pouvez accorder des autorisations à un groupe plus large de principaux et accepter manuellement des demandes de connexion spécifiques en qui vous avez confiance.
Par défaut, votre service de point de terminaison n'est pas disponible pour les consommateurs du service. Vous devez ajouter des autorisations qui permettent à des AWS principaux spécifiques de créer un point de terminaison VPC d'interface pour se connecter à votre service de point de terminaison. Pour ajouter des autorisations à un AWS principal, vous avez besoin de son Amazon Resource Name (ARN). La liste suivante inclut des exemples ARNs de AWS principes pris en charge.ARNs pour les AWS directeurs
Compte AWS (inclut tous les principaux du compte)
arn:aws:iam : ::root *account\$1id*
Role
arn:aws:iam : :role/ *account\$1id* *role\$1name*
Utilisateur
arn:aws:iam : ::user/ *account\$1id* *user\$1name*
Tous les principes en tout Comptes AWS
\$1
**Considérations**
+ Si vous accordez à tout le monde l'autorisation d'accéder au service de point de terminaison et configurez le service de point de terminaison pour qu'il accepte toutes les requêtes, votre équilibreur de charge sera public même s'il n'a pas d'adresse IP publique.
+ Si vous supprimez des autorisations, cela n'affecte pas les connexions existantes entre le point de terminaison et le service qui ont été précédemment acceptées.
**Pour gérer des autorisations pour votre service de point de terminaison à l'aide de la console**
1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Dans le volet de navigation, choisissez **Endpoint Services (Services de point de terminaison)**.
1. Sélectionnez le service de point de terminaison et choisissez l’onglet **Allow principals (Autoriser les principaux)**.
1. Pour ajouter des autorisations, choisissez **Allow principals (Autoriser les principaux)**. Pour **Principals to add** (Principaux à ajouter), saisissez l'ARN du principal. Pour ajouter un autre mandataire, choisissez **Add principal** (Ajouter un mandataire). Lorsque vous avez terminé d'ajouter des principaux, choisissez **Allow principal (Autoriser les principaux)**.
1. Pour supprimer des autorisations, sélectionnez le principal et choisissez **Actions (Actions)** puis **Delete (Supprimer)**. Lorsque vous êtes invité à confirmer, entrez **delete**, puis choisissez **Delete (Supprimer)**.
**Pour ajouter des autorisations pour votre service de point de terminaison à l'aide de la ligne de commande**
+ [modify-vpc-endpoint-service-autorisations](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpc-endpoint-service-permissions.html) ()AWS CLI
+ [Edit-EC2EndpointServicePermission](https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2EndpointServicePermission.html)(Outils pour Windows PowerShell)
## Acceptation ou refus des demandes de connexion
La combinaison des autorisations et des paramètres d'acceptation vous permet de contrôler les consommateurs de services (AWS principaux) autorisés à accéder à votre service de point de terminaison. Par exemple, vous pouvez accorder des autorisations à des principaux spécifiques en qui vous avez confiance et accepter automatiquement toutes les demandes de connexion, ou vous pouvez accorder des autorisations à un groupe plus large de principaux et accepter manuellement des demandes de connexion spécifiques en qui vous avez confiance.
Vous pouvez configurer votre service de point de terminaison pour qu'il accepte automatiquement les demandes de connexion. Sinon, vous devez les accepter ou les refuser manuellement. Si vous n'acceptez pas une demande de connexion, le consommateur du service ne peut pas accéder à votre service de point de terminaison.
Si vous accordez à tout le monde l'autorisation d'accéder au service de point de terminaison et configurez le service de point de terminaison pour qu'il accepte toutes les requêtes, votre équilibreur de charge sera public même s'il n'a pas d'adresse IP publique.
Vous pouvez recevoir une notification lorsqu'une demande de connexion est acceptée ou refusée. Pour de plus amples informations, veuillez consulter [Réception d'alertes pour les événements relatifs au service de point de terminaison](create-notification-endpoint-service.md).
**Pour modifier le paramètre d'acceptation à l'aide de la console**
1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Dans le volet de navigation, choisissez **Endpoint Services (Services de point de terminaison)**.
1. Sélectionnez le service de point de terminaison.
1. Choisissez **Actions**, **Modifier le paramètre d'acceptation du point de terminaison**.
1. Sélectionnez ou désélectionnez **Acceptance required** (Acceptation requise).
1. Choisissez **Enregistrer les modifications**
**Pour modifier le paramètre d'acceptation à l'aide de la ligne de commande**
+ [modify-vpc-endpoint-service-configuration](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpc-endpoint-service-configuration.html) ()AWS CLI
+ [Edit-EC2VpcEndpointServiceConfiguration](https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2VpcEndpointServiceConfiguration.html)(Outils pour Windows PowerShell)
**Pour accepter ou refuser une demande de connexion à l'aide de la console**
1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Dans le volet de navigation, choisissez **Endpoint Services (Services de point de terminaison)**.
1. Sélectionnez le service de point de terminaison.
1. Dans l'onglet **Endpoint connections** (Connexions de point de terminaison), sélectionnez la connexion de point de terminaison.
1. Pour accepter la demande de connexion, choisissez **Actions**, **Accept endpoint connection request** (Accepter la demande de connexion de point de terminaison). À l'invite de confirmation, saisissez **accept**, puis choisissez **Accept** (Accepter).
1. Pour rejeter la demande de connexion, choisissez**Actions** (Actions),**Reject endpoint connection request** (Rejeter la demande de connexion de point de terminaison). À l'invite de confirmation, saisissez **reject**, puis choisissez **Reject** (Refuser).
**Pour accepter ou refuser une demande de connexion à l'aide de la ligne de commande**
+ [accept-vpc-endpoint-connections](https://docs.aws.amazon.com/cli/latest/reference/ec2/accept-vpc-endpoint-connections.html)ou [reject-vpc-endpoint-connections](https://docs.aws.amazon.com/cli/latest/reference/ec2/reject-vpc-endpoint-connections.html)(AWS CLI)
+ [Approve-EC2EndpointConnection](https://docs.aws.amazon.com/powershell/latest/reference/items/Approve-EC2EndpointConnection.html)ou [Deny-EC2EndpointConnection](https://docs.aws.amazon.com/powershell/latest/reference/items/Deny-EC2EndpointConnection.html)(Outils pour Windows PowerShell)
## Gérez les équilibreurs de charge
Vous pouvez gérer les équilibreurs de charge associés à votre service de point de terminaison. Vous ne pouvez pas dissocier un équilibreur de charge si des points de terminaison sont connectés à votre service de point de terminaison.
Si vous activez une autre zone de disponibilité pour vos équilibreurs de charge, la zone de disponibilité apparaîtra sous l'onglet **Load Balancers** sur la page des **services Endpoint**. Toutefois, il ne sera pas activé pour le service de point de terminaison ni répertorié dans l'onglet **Détails** de votre service de point de terminaison sur le AWS Management Console. Vous devez activer le service de point de terminaison pour la nouvelle zone de disponibilité.
Quelques minutes peuvent être nécessaires pour que la zone de disponibilité de l'équilibreur de charge soit prête pour le service de votre point de terminaison. Si vous utilisez une automatisation, nous vous recommandons d'ajouter un délai d'attente dans votre processus d'automatisation avant d'activer le service de point de terminaison pour la nouvelle zone de disponibilité.
**Pour gérer les équilibreurs de charge de votre service de point de terminaison à l'aide de la console**
1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Dans le volet de navigation, choisissez **Endpoint Services (Services de point de terminaison)**.
1. Sélectionnez le service de point de terminaison.
1. Choisissez **Actions**, **Associate or disassociate load balancers** (Associer des équilibreurs de charge).
1. Modifiez la configuration du service de point de terminaison selon vos besoins. Par exemple :
+ Cochez la case correspondant à un équilibreur de charge pour l'associer au service de point de terminaison.
+ Décochez la case correspondant à un équilibreur de charge afin de le dissocier du service de point de terminaison. Vous devez conserver au moins un équilibreur de charge sélectionné.
1. Choisissez **Enregistrer les modifications**
Le service de point de terminaison sera activé pour toutes les nouvelles zones de disponibilité que vous avez ajoutées à votre équilibreur de charge. La nouvelle zone de disponibilité est répertoriée sous les onglets **Load Balancers** et **Details** du service de point de terminaison.
Après avoir activé une zone de disponibilité pour le service de point de terminaison, les clients du service peuvent ajouter un sous-réseau depuis cette zone de disponibilité aux points de terminaison VPC de leur interface.
**Pour gérer les équilibreurs de charge de votre service de point de terminaison à l'aide de la ligne de commande**
+ [modify-vpc-endpoint-service-configuration](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpc-endpoint-service-configuration.html) ()AWS CLI
+ [Edit-EC2VpcEndpointServiceConfiguration](https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2VpcEndpointServiceConfiguration.html)(Outils pour Windows PowerShell)
Pour activer le service de point de terminaison dans une zone de disponibilité récemment activée pour l'équilibreur de charge, il suffit d'appeler la commande avec l'ID du service de point de terminaison.
## Association d'un nom DNS privé
Vous pouvez associer un nom DNS privé à votre service de point de terminaison. Après avoir associé un nom DNS privé, vous devez mettre à jour l'entrée pour le domaine sur votre serveur DNS. Le fournisseur du service doit vérifier qu'il est le propriétaire du domaine de nom DNS privé pour que les consommateurs puissent utiliser le nom DNS privé. Pour de plus amples informations, veuillez consulter [Gestion des noms DNS](manage-dns-names.md).
**Pour modifier un nom DNS privé d'un service de point de terminaison à l'aide de la console**
1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Dans le volet de navigation, choisissez **Endpoint Services (Services de point de terminaison)**.
1. Sélectionnez le service de point de terminaison.
1. Choisissez **Actions**, **Modify private DNS name** (Modifier le nom DNS privé).
1. Sélectionnez **Associate a private DNS name with the service** (Associer un nom DNS privé au service) et saisissez le nom DNS privé.
+ Les noms de domaine doivent être en minuscules.
+ Vous pouvez utiliser des caractères de remplacement dans les noms de domaine (par exemple, **\$1.myexampleservice.com**).
1. Sélectionnez **Enregistrer les modifications**.
1. Le nom DNS privé est prêt à être utilisé par les consommateurs du service lorsque l'état de vérification est **verified** (vérifié). Si l'état de vérification change, les nouvelles demandes de connexion sont refusées, mais les connexions existantes ne sont pas affectées.
**Pour modifier un nom DNS privé d'un service de point de terminaison à l'aide de la ligne de commande**
+ [modify-vpc-endpoint-service-configuration](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpc-endpoint-service-configuration.html) ()AWS CLI
+ [Edit-EC2VpcEndpointServiceConfiguration](https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2VpcEndpointServiceConfiguration.html)(Outils pour Windows PowerShell)
**Pour lancer le processus de vérification du domaine à l'aide de la console**
1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Dans le volet de navigation, choisissez **Endpoint Services (Services de point de terminaison)**.
1. Sélectionnez le service de point de terminaison.
1. Choisissez **Actions**, **Verify domain ownership for private DNS name** (Vérifier la propriété du domaine pour le nom DNS privé).
1. Lorsque vous êtes invité à confirmer, saisissez **verify**, puis choisissez **Delete** (Supprimer).
**Pour lancer le processus de vérification du domaine à l'aide de la ligne de commande**
+ [start-vpc-endpoint-service-private-dns-verification](https://docs.aws.amazon.com/cli/latest/reference/ec2/start-vpc-endpoint-service-private-dns-verification.html) (AWS CLI)
+ [Start-EC2VpcEndpointServicePrivateDnsVerification](https://docs.aws.amazon.com/powershell/latest/reference/items/Start-EC2VpcEndpointServicePrivateDnsVerification.html)(Outils pour Windows PowerShell)
## Modifier les régions prises en charge
Vous pouvez modifier l'ensemble des régions prises en charge pour votre service de point de terminaison. Avant de pouvoir ajouter une région opt-in, vous devez vous y inscrire. Vous ne pouvez pas supprimer la région qui héberge votre service de point de terminaison.
Une fois que vous avez supprimé une région, les consommateurs de services ne peuvent pas créer de nouveaux points de terminaison la spécifiant comme région de service. La suppression d'une région n'affecte pas les points de terminaison existants qui la spécifient comme région de service. Lorsque vous supprimez une région, nous vous recommandons de rejeter toutes les connexions de point de terminaison existantes depuis cette région.
**Pour modifier les régions prises en charge pour votre service de point de terminaison**
1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Dans le volet de navigation, choisissez **Endpoint Services (Services de point de terminaison)**.
1. Sélectionnez le service de point de terminaison.
1. Choisissez **Actions**, puis **Modifier les régions prises en charge**.
1. Sélectionnez et désélectionnez Régions selon vos besoins.
1. Sélectionnez **Enregistrer les modifications**.
## Modification des types d'adresses IP pris en charge
Vous pouvez modifier les types d'adresses IP pris en charge par votre service de point de terminaison.
**Considération**
Pour permettre à votre service de point de terminaison d'accepter les IPv6 demandes, ses équilibreurs de charge réseau doivent utiliser le type d'adresse IP à double pile. Les cibles n'ont pas besoin de prendre en charge IPv6 le trafic. Pour plus d'informations, consultez la section [Type d'adresse IP](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/network-load-balancers.html#ip-address-type) du *Guide de l'utilisateur des équilibreurs de charge de réseau Network Load Balancer*.
**Pour modifier les types d'adresses IP pris en charge à l'aide de la console**
1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Dans le volet de navigation, choisissez **Endpoint Services (Services de point de terminaison)**.
1. Sélectionnez le service de point de terminaison de VPC.
1. Choisissez **Actions**, **Modify supported IP address types** (Modifier les types d'adresses IP pris en charge).
1. Pour **Supported IP address types** (Types d'adresse IP pris en charge), effectuez l'une des opérations suivantes :
+ Sélectionner **IPv4**— Activez le service de point de terminaison pour qu'il accepte les IPv4 demandes.
+ Sélectionner **IPv6**— Activez le service de point de terminaison pour qu'il accepte les IPv6 demandes.
+ Sélectionnez **IPv4**et **IPv6**— Activez le service de point de terminaison pour qu'il accepte à la fois les IPv6 demandes IPv4 et.
1. Sélectionnez **Enregistrer les modifications**.
**Pour modifier les types d'adresse IP pris en charge à l'aide de la ligne de commande**
+ [modify-vpc-endpoint-service-configuration](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpc-endpoint-service-configuration.html) ()AWS CLI
+ [Edit-EC2VpcEndpointServiceConfiguration](https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2VpcEndpointServiceConfiguration.html)(Outils pour Windows PowerShell)
## Gestion des balises
Vous pouvez baliser vos ressources pour vous aider à les identifier ou à les catégoriser en fonction des besoins de votre organisation.
**Pour gérer des balises pour votre service de point de terminaison à l'aide de la console**
1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Dans le volet de navigation, choisissez **Endpoint Services (Services de point de terminaison)**.
1. Sélectionnez le service de point de terminaison de VPC.
1. Choisissez **Actions**, **Manage tags** (Gérer les balises).
1. Pour chaque balise à ajouter, sélectionnez **Add new tag** (Ajouter une nouvelle balise) et saisissez la clé et la valeur de la balise.
1. Pour supprimer une balise, choisissez **Remove** (Supprimer) à droite de la clé et de la valeur de la balise.
1. Choisissez **Enregistrer**.
**Pour gérer les balises pour les connexions de votre point de terminaison à l'aide de la console**
1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Dans le volet de navigation, choisissez **Endpoint Services (Services de point de terminaison)**.
1. Sélectionnez le service de point de terminaison d’un VPC, puis choisissez l’onglet **Connexions au point de terminaison**.
1. Sélectionnez la connexion au point de terminaison, puis choisissez **Actions (Actions)**, **Manage tags** (Gérer les balises).
1. Pour chaque balise à ajouter, sélectionnez **Add new tag** (Ajouter une nouvelle balise) et saisissez la clé et la valeur de la balise.
1. Pour supprimer une balise, choisissez **Remove** (Supprimer) à droite de la clé et de la valeur de la balise.
1. Choisissez **Enregistrer**.
**Pour gérer des balises pour les autorisations de votre service de point de terminaison à l'aide de la console**
1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Dans le volet de navigation, choisissez **Endpoint Services (Services de point de terminaison)**.
1. Sélectionnez le service de point de terminaison d’un VPC, puis choisissez l’onglet **Autoriser les principaux**.
1. Sélectionnez le principal puis choisissez **Actions (Actions)**, **Gérer les balises**.
1. Pour chaque balise à ajouter, sélectionnez **Add new tag** (Ajouter une nouvelle balise) et saisissez la clé et la valeur de la balise.
1. Pour supprimer une balise, choisissez **Remove** (Supprimer) à droite de la clé et de la valeur de la balise.
1. Choisissez **Enregistrer**.
**Pour ajouter et supprimer des balises à l'aide de la ligne de commande**
+ [create-tags](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-tags.html) et [delete-tags](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-tags.html) (AWS CLI)
+ [New-EC2Tag](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2Tag.html)et [Remove-EC2Tag](https://docs.aws.amazon.com/powershell/latest/reference/items/Remove-EC2Tag.html)(Outils pour Windows PowerShell)
# Gestion des noms DNS privés pour les services de point de terminaison de VPC
Les fournisseurs du service peuvent configurer des noms DNS privés pour leurs services de point de terminaison. Supposons qu'un fournisseur de services mette son service à disposition via un point de terminaison public et en tant que service de point de terminaison. Si le fournisseur de services utilise le nom DNS du point de terminaison public comme nom DNS privé du service de point de terminaison, les consommateurs du service peuvent accéder au point de terminaison public ou au service de point de terminaison en utilisant la même application client, sans modification. Si une demande provient du VPC du consommateur de services, les serveurs DNS privés résolvent le nom DNS en adresses IP des interfaces réseau des points de terminaison. Dans le cas contraire, les serveurs DNS publics attribuent le nom DNS au point de terminaison public.
Avant de pouvoir configurer un nom DNS privé pour votre service de point de terminaison, vous devez prouver que vous êtes propriétaire du domaine en procédant à une vérification de la propriété du domaine.
**Considérations**
+ Un service de point de terminaison ne peut avoir qu'un seul nom DNS privé.
+ Lorsque le client crée un point de terminaison d'interface pour se connecter à votre service, nous créons une zone hébergée privée et l'associons au VPC du consommateur de services. Nous créons un enregistrement CNAME dans la zone hébergée privée qui fait correspondre le nom DNS privé du service de point de terminaison au nom DNS régional du point de terminaison VPC. Lorsqu'un consommateur envoie une demande au nom DNS public du service, les serveurs DNS privés résolvent la demande aux adresses IP des interfaces réseau des terminaux.
+ Pour vérifier un domaine, vous devez avoir un nom d'hôte public ou un fournisseur DNS public.
+ Vous pouvez vérifier le domaine d'un sous-domaine. Par exemple, vous pouvez vérifier *example.com*, au lieu de *a.example.com*. Chaque étiquette DNS peut comporter jusqu'à 63 caractères et la longueur totale du nom de domaine ne doit pas dépasser 255 caractères.
Si vous ajoutez un sous-domaine supplémentaire, vous devez vérifier le sous-domaine ou le domaine. Imaginons par exemple que vous aviez un *a.example.com* et vérifié un *example.com*. Vous ajoutez maintenant *b.example.com* en tant que nom DNS privé. Vous devez vérifier *example.com* ou *b.example.com* pour que les consommateurs du service puissent utiliser le nom.
+ Les noms DNS privés ne sont pas pris en charge pour les points de terminaison d'équilibreur de charge de passerelle.
## Vérification de la propriété du domaine
Votre domaine est associé à un ensemble d'enregistrements de service de nom de domaine (DNS) que vous gérez par l'intermédiaire de votre fournisseur DNS. Un enregistrement TXT est un type d'enregistrement DNS qui fournit des informations supplémentaires sur votre domaine. Il se compose d'un nom et d'une valeur. Dans le cadre du processus de vérification, vous devez ajouter un enregistrement TXT au serveur DNS pour votre domaine public.
La vérification de la propriété du domaine est terminée lorsque nous détectons l'existence de l'enregistrement TXT dans les paramètres DNS de votre domaine.
Après avoir ajouté un enregistrement, vous pouvez vérifier l'état du processus de vérification du domaine à l'aide de la console Amazon VPC. Dans le volet de navigation, choisissez **Endpoint Services (Services de point de terminaison)**. Sélectionnez le service de point de terminaison et vérifiez la valeur de l'**état de vérification du domaine** dans l'onglet **Details** (Détails). Si la vérification du domaine est en cours, attendez quelques minutes et rafraîchissez l'écran. Si nécessaire, vous pouvez lancer le processus de vérification manuellement. Choisissez **Actions**, **Verify domain ownership for private DNS name** (Vérifier la propriété du domaine pour le nom DNS privé).
Le nom DNS privé est prêt à être utilisé par les consommateurs du service lorsque l'état de vérification est **verified** (vérifié). Si l'état de vérification change, les nouvelles demandes de connexion sont refusées, mais les connexions existantes ne sont pas affectées.
Si l'état de vérification est **failed** (échoué), voir [Résolution des problèmes de vérification de domaine](#troubleshoot-domain-verification).
## Obtention du nom et de la valeur
Nous vous fournissons le nom et la valeur que vous utilisez dans l'enregistrement TXT. Par exemple, les informations sont disponibles dans la AWS Management Console. Sélectionnez le service de point de terminaison et consultez **Domain verification name** (Nom de vérification du domaine) et **Domain verification value** (Valeur de vérification du domaine) dans l'onglet **Details** (Détails) pour le service de point de terminaison. Vous pouvez également utiliser la AWS CLI commande [describe-vpc-endpoint-service-configurations](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-vpc-endpoint-service-configurations.html) suivante pour récupérer des informations sur la configuration du nom DNS privé pour le service de point de terminaison spécifié.
```
aws ec2 describe-vpc-endpoint-service-configurations \
--service-ids vpce-svc-071afff70666e61e0 \
--query ServiceConfigurations[*].PrivateDnsNameConfiguration
```
Voici un exemple de sortie. Vous utiliserez `Value` et `Name` lorsque vous créez l'enregistrement TXT.
```
[
{
"State": "pendingVerification",
"Type": "TXT",
"Value": "vpce:l6p0ERxlTt45jevFwOCp",
"Name": "_6e86v84tqgqubxbwii1m"
}
]
```
Par exemple, supposons que votre nom de domaine est *example.com* et que `Value` et `Name` sont comme indiqué dans l'exemple de sortie précédent. Le tableau suivant est un exemple des paramètres d'enregistrement TXT.
| Nom | Type | Value |
| --- | --- | --- |
| \$16e86v84tqgqubxbwii1m.example.com | TXT | vpce : l6p0 TT45jevfw ERxl OCp |
Nous vous suggérons d'utiliser `Name` comme sous-domaine d'enregistrement, car il se peut que le nom de domaine de base soit déjà utilisé. Toutefois, si votre fournisseur DNS ne permet pas aux noms d'enregistrement DNS de contenir des traits de soulignement, vous pouvez omettre le « \$16e86v84tqgqubxbwii1m » et utiliser simplement « exemple.com » dans l'enregistrement TXT.
Après avoir vérifié « \$16e86v84tqgqubxbwii1m.example.com », les consommateurs du service peuvent utiliser « example.com » ou un sous-domaine (par exemple, « service.example.com » ou « my.service.example.com »).
## Ajout d'un enregistrement TXT au serveur DNS de votre domaine
La procédure d'ajout d'enregistrements TXT au serveur DNS de votre domaine dépend de l'entité qui fournit votre service DNS. Votre fournisseur DNS peut être Amazon Route 53 ou un autre bureau d'enregistrement de noms de domaine.
### Amazon Route 53
Créez un enregistrement pour votre zone hébergée publique à l'aide d'une politique de routage simple. Utilisez les valeurs suivantes :
+ Pour **Record name** (Nom d'enregistrement), saisissez le domaine ou le sous-domaine.
+ Sous **Record type (Type d'enregistrement)**, choisissez **TXT**.
+ Pour **Value/Route traffic to** (Valeur/Acheminer le trafic vers), saisissez la valeur de vérification de domaine.
+ Pour **TTL (seconds)** (TTL [secondes]), saisissez **1800**.
Pour plus d'informations, voir [Création d'enregistrements à l'aide de la console](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resource-record-sets-creating.html) du *Guide du développeur Amazon Route 53*.
### Procédure générale
Accédez au site Web de votre fournisseur DNS et connectez-vous à votre compte. Recherchez la page permettant de mettre à jour les enregistrements DNS de votre domaine. Ajoutez un enregistrement TXT avec le nom et la valeur que nous avons fournis. La mise à jour d'un enregistrement DNS peut prendre jusqu'à 48 heures, mais elle est souvent effective bien plus tôt.
Pour des instructions plus spécifiques, consultez la documentation de votre fournisseur DNS. Le tableau suivant fournit des liens vers la documentation de plusieurs fournisseurs DNS courants. Cette liste ne prétend pas être exhaustive et ne constitue pas une recommandation des produits ou services fournis par ces entreprises.
| Fournisseur DNS/d’hébergement | Lien vers la documentation |
| --- | --- |
| GoDaddy | [Ajout d'un enregistrement TXT](https://www.godaddy.com/help/add-a-txt-record-19232) |
| Dreamhost | [Ajout d'enregistrements DNS personnalisés](https://help.dreamhost.com/hc/en-us/articles/360035516812-Adding-custom-DNS-records) |
| Cloudflare | [Gestion des enregistrements DNS](https://developers.cloudflare.com/dns/manage-dns-records/how-to/create-dns-records/) |
| HostGator | [Gérer les enregistrements DNS avec HostGator /eNom](https://www.hostgator.com/help/article/manage-dns-records-with-hostgatorenom) |
| Namecheap | [Comment ajouter TXT/SPF/DKIM/DMARC des enregistrements pour mon domaine ?](https://www.namecheap.com/support/knowledgebase/article.aspx/317/2237/how-do-i-add-txtspfdkimdmarc-records-for-my-domain/) |
| Names.co.uk | [Modification des paramètres DNS du domaine](https://www.names.co.uk/support/articles/changing-your-domains-dns-settings/) |
| Wix | [Ajout ou mise à jour des enregistrements TXT dans le compte Wix](https://support.wix.com/en/article/adding-or-updating-txt-records-in-your-wix-account) |
## Vérification de la publication de l'enregistrement TXT
Vous pouvez vérifier que l'enregistrement TXT de vérification de la propriété de votre nom de domaine DNS privé est publié correctement sur votre serveur DNS en suivant les étapes ci-dessous. Vous allez exécuter la **nslookup** commande, qui est disponible pour Windows et Linux.
Vous allez interroger les serveurs DNS qui desservent votre domaine, car ce sont eux qui contiennent le plus up-to-date d'informations sur votre domaine. La propagation des informations de votre domaine aux autres serveurs DNS prend du temps.
**Pour vérifier que votre enregistrement TXT est publié sur votre serveur DNS**
1. Trouvez les serveurs de noms pour votre domaine en utilisant la commande suivante.
```
nslookup -type=NS example.com
```
Le résultat liste les serveurs de noms qui desservent votre domaine. Vous interrogerez l'un de ces serveurs à l'étape suivante.
1. Vérifiez que l'enregistrement TXT est correctement publié à l'aide de la commande suivante, où se *name\$1server* trouve l'un des serveurs de noms que vous avez trouvés à l'étape précédente.
```
nslookup -type=TXT _6e86v84tqgqubxbwii1m.example.com name_server
```
1. Dans le résultat de l'étape précédente, vérifiez que la chaîne qui suit `text =` correspond à la valeur TXT.
Dans notre exemple, si l'enregistrement est correctement publié, le résultat inclut les éléments suivants.
```
1. _6e86v84tqgqubxbwii1m.example.com text = "vpce:l6p0ERxlTt45jevFwOCp"
```
## Résolution des problèmes de vérification de domaine
Si le processus de vérification de domaine échoue, les informations suivantes peuvent vous aider à résoudre les problèmes.
+ Vérifiez si votre fournisseur DNS autorise les traits de soulignement dans les noms d'enregistrements TXT. Si votre fournisseur DNS n'autorise pas les traits de soulignement, vous pouvez omettre le nom de vérification du domaine (par exemple, « \$16e86v84tqgqubxbwii1m ») dans l'enregistrement TXT.
+ Vérifiez si votre fournisseur DNS a ajouté le nom de domaine à la fin de l'enregistrement TXT. Certains fournisseurs DNS ajoutent automatiquement le nom de votre domaine au nom d'attribut de l'enregistrement TXT. Pour éviter cette duplication du nom de domaine, ajoutez un point à la fin du nom de domaine lorsque vous créez l'enregistrement TXT. Cela indique à votre fournisseur DNS qu'il n'est pas nécessaire d'ajouter le nom de domaine à l'enregistrement TXT.
+ Vérifiez si votre fournisseur DNS a modifié la valeur de l'enregistrement DNS pour n'utiliser que des lettres minuscules. Nous vérifions votre domaine uniquement lorsqu'il existe un enregistrement de vérification dont la valeur d'attribut correspond exactement à la valeur que nous avons fournie. Si le fournisseur DNS a modifié les valeurs de votre enregistrement TXT pour n'utiliser que des lettres minuscules, contactez-le pour obtenir de l'aide.
+ Vous devrez peut-être vérifier votre domaine plus d'une fois parce que vous prenez en charge plusieurs Régions ou plusieurs Comptes AWS. Si votre fournisseur DNS ne vous permet pas d'avoir plus d'un enregistrement TXT avec le même nom d'attribut, vérifiez si votre fournisseur DNS vous permet d'attribuer plusieurs valeurs d'attribut au même enregistrement TXT. Par exemple, si votre DNS est géré par Amazon Route 53, vous pouvez utiliser la procédure suivante.
1. Dans la console Route 53, choisissez l'enregistrement TXT que vous avez créé lorsque vous avez vérifié votre domaine dans la première région.
1. Pour **Value** (Valeur), allez jusqu'à la fin de la valeur de l'attribut existant, puis appuyez sur Entrée.
1. Ajoutez la valeur d'attribut de la région supplémentaire, puis enregistrez le jeu d'enregistrements.
Si votre fournisseur DNS ne vous permet pas d'attribuer plusieurs valeurs au même enregistrement TXT, vous pouvez vérifier le domaine une fois avec la valeur dans le nom de l'attribut de l'enregistrement TXT, et une autre fois avec la valeur supprimée du nom de l'attribut. Toutefois, vous ne pouvez vérifier le même domaine que deux fois.
# Réception d'alertes pour les événements relatifs au service de point de terminaison
Vous pouvez créer une notification pour recevoir des alertes sur des événements spécifiques liés à votre service de point de terminaison. Par exemple, vous pouvez recevoir un e-mail quand une demande de connexion est acceptée ou refusée.
**Topics**
+ [Création d'une notification SNS](#create-sns-notification-endpoint-service)
+ [Ajout d'une stratégie d'accès](#add-access-policy-endpoint-service)
+ [Ajout d'une stratégie de clé](#add-key-policy-endpoint-service)
## Création d'une notification SNS
Utilisez la procédure suivante pour créer une rubrique Amazon SNS pour les notifications et vous y abonner.
**Pour créer une notification pour un service de point de terminaison à l'aide de la console**
1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Dans le volet de navigation, choisissez **Endpoint Services (Services de point de terminaison)**.
1. Sélectionnez le service de point de terminaison.
1. Dans l'onglet **Notifications**, choisissez **Create notification** (Créer une notification).
1. Pour **Notification ARN** (ARN de notification), choisissez l'ARN de la rubrique SNS que vous avez créée.
1. Pour vous abonner à un événement, sélectionnez-le dans **Events** (Événements).
+ **Connect** (Connexion) – Le consommateur du service a créé le point de terminaison d'interface. Cela envoie une demande de connexion au fournisseur du service.
+ **Accept** (Acceptation) – Le fournisseur du service a accepté la demande de connexion.
+ **Reject** (Refus) – Le fournisseur du service a refusé la demande de connexion.
+ **Delete** (Suppression) – Le consommateur du service a supprimé le point de terminaison d'interface.
1. Choisissez **Create notification** (Créer une notification).
**Pour créer une notification pour un service de point de terminaison à l'aide de la ligne de commande**
+ [create-vpc-endpoint-connection-notification](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-vpc-endpoint-connection-notification.html) ()AWS CLI
+ [New-EC2VpcEndpointConnectionNotification](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2VpcEndpointConnectionNotification.html)(Outils pour Windows PowerShell)
## Ajout d'une stratégie d'accès
Ajoutez une politique d'accès à la rubrique SNS qui permet AWS PrivateLink de publier des notifications en votre nom, comme la suivante. Pour plus d'informations, voir [Comment modifier la stratégie d'accès à ma rubrique Amazon SNS ?](https://repost.aws/knowledge-center/sns-edit-topic-access-policy) Utilisez les clés de condition globale `aws:SourceArn` et `aws:SourceAccount` pour vous protéger contre le [problème du député confus](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "vpce.amazonaws.com"
},
"Action": "SNS:Publish",
"Resource": "arn:aws:sns:us-east-1:111111111111:topic-name",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:ec2:us-east-1:111111111111:vpc-endpoint-service/service-id"
},
"StringEquals": {
"aws:SourceAccount": "111111111111"
}
}
}
]
}
```
------
## Ajout d'une stratégie de clé
Si vous utilisez des rubriques SNS chiffrées, la politique de ressources de la clé KMS doit être fiable AWS PrivateLink pour appeler des opérations d' AWS KMS API. Voici un exemple de stratégie de clé.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "vpce.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey*",
"kms:Decrypt"
],
"Resource": "arn:aws:kms:us-east-1:111111111111:key/key-id",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:ec2:us-east-1:111111111111:vpc-endpoint-service/service-id"
},
"StringEquals": {
"aws:SourceAccount": "111111111111"
}
}
}
]
}
```
------
# Suppression d'un service de point de terminaison
Lorsque vous avez terminé avec un service de point de terminaison, vous pouvez le supprimer. Vous ne pouvez pas supprimer un service de point de terminaison s'il y a des points de terminaison connectés au service de point de terminaison qui sont dans l'état `available` ou `pending-acceptance`.
La suppression d'un service de point de terminaison ne supprime pas l'équilibreur de charge associé et n'affecte pas les serveurs d'applications enregistrés dans les groupes cibles de l'équilibreur de charge.
**Pour supprimer un service de point de terminaison à l'aide de la console**
1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Dans le volet de navigation, choisissez **Endpoint Services (Services de point de terminaison)**.
1. Sélectionnez le service de point de terminaison.
1. Choisissez **Actions** (Actions), **Delete endpoint services** (Supprimer les services de point de terminaison).
1. Lorsque vous êtes invité à confirmer, entrez **delete**, puis choisissez **Delete (Supprimer)**.
**Pour supprimer un service de point de terminaison à l'aide de la ligne de commande**
+ [delete-vpc-endpoint-service-configurations](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-vpc-endpoint-service-configurations.html) ()AWS CLI
+ [Remove-EC2EndpointServiceConfiguration](https://docs.aws.amazon.com/powershell/latest/reference/items/Remove-EC2EndpointServiceConfiguration.html)(Outils pour Windows PowerShell)