As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Compartilhe seus serviços por meio de AWS PrivateLink
<a name="privatelink-share-your-services"></a>

Você pode hospedar seu próprio serviço AWS PrivateLink motorizado, conhecido como *serviço de endpoint*, e compartilhá-lo com outros AWS clientes.

**Topics**
+ [Visão geral do](#endpoint-service-overview)
+ [Nomes de hosts DNS](#endpoint-service-dns-hostnames)
+ [DNS privado](#endpoint-service-private-dns)
+ [Zonas de disponibilidade e sub-redes](#endpoint-service-subnets-zones)
+ [Acesso entre regiões](#endpoint-service-cross-region)
+ [Tipos de endereço IP](#endpoint-service-ip-address-type)
+ [Criar um serviço de endpoint](create-endpoint-service.md)
+ [Configurar um serviço de endpoint](configure-endpoint-service.md)
+ [Gerenciar nomes DNS](manage-dns-names.md)
+ [Receber alertas para eventos de serviço de endpoint](create-notification-endpoint-service.md)
+ [Excluir um serviço de endpoint](delete-endpoint-service.md)

## Visão geral do
<a name="endpoint-service-overview"></a>

O diagrama a seguir mostra como você compartilha seu serviço hospedado AWS com outros AWS clientes e como esses clientes se conectam ao seu serviço. Como provedor de serviços, crie um Network Load Balancer em sua VPC como o front-end do serviço. Em seguida, selecione esse balanceador de carga ao criar a configuração do serviço de endpoint da VPC. Conceda permissão a entidades principais da AWS específicas para que elas possam se conectar ao serviço. Como consumidor do serviço, o cliente cria um endpoint da VPC de interface, que estabelece conexões entre as sub-redes que ele selecionou da VPC e o serviço de endpoint. O balanceador de carga recebe solicitações do consumidor do serviço e as encaminha aos destinos que hospedam o serviço.

![\[Os consumidores de serviço conectam-se a serviços de endpoint hospedados pelos provedores de serviços.\]](http://docs.aws.amazon.com/pt_br/vpc/latest/privatelink/images/endpoint-services.png)


Para garantir baixa latência e alta disponibilidade, recomenda-se disponibilizar o serviço em pelo menos duas zonas de disponibilidade.

## Nomes de hosts DNS
<a name="endpoint-service-dns-hostnames"></a>

Quando um provedor de serviços cria um serviço de endpoint VPC, AWS gera um nome de host DNS específico do endpoint para o serviço. Esses nomes apresentam a seguinte sintaxe:

```
endpoint_service_id.region.vpce.amazonaws.com
```

Veja a seguir um exemplo de nome de host de DNS para um serviço de endpoint da VPC na região us-east-2:

```
vpce-svc-071afff70666e61e0.us-east-2.vpce.amazonaws.com
```

Quando um consumidor do serviço cria um endpoint da VPC de interface, criamos nomes DNS regionais e zonais que o consumidor do serviço pode usar para se comunicar com o serviço de endpoint. Os nomes regionais apresentam a seguinte sintaxe:

```
endpoint_id.endpoint_service_id.service_region.vpce.amazonaws.com
```

Os nomes zonais apresentam a seguinte sintaxe:

```
endpoint_id-endpoint_zone.endpoint_service_id.service_region.vpce.amazonaws.com
```

## DNS privado
<a name="endpoint-service-private-dns"></a>

Um provedor de serviços também pode associar um nome DNS privado ao serviço de endpoint para que os consumidores possam continuar acessando o serviço com o nome DNS existente. Se um provedor de serviços tiver associado um nome de DNS privado ao serviço de endpoint, os consumidores do serviço poderão habilitar nomes de DNS privados para seus endpoints de interface. Se um provedor de serviços não habilitar o DNS privado, talvez os consumidores do serviço precisem atualizar suas aplicações para usar o nome de DNS público para o serviço de endpoint da VPC. Para obter mais informações, consulte [Gerenciar nomes DNS](manage-dns-names.md).

## Zonas de disponibilidade e sub-redes
<a name="endpoint-service-subnets-zones"></a>

O serviço de endpoint está disponível nas zonas de disponibilidade que você habilita para o Network Load Balancer. Para garantir alta disponibilidade e resiliência, recomendamos que você habilite o balanceador de carga em pelo menos duas zonas de disponibilidade, implante instâncias do EC2 em todas as zonas habilitadas e registre essas instâncias no grupo de destino do balanceador de carga.

Você pode habilitar o balanceamento de carga entre zonas como alternativa a hospedar o serviço de endpoint em várias zonas de disponibilidade. Porém, os consumidores perderão o acesso ao serviço de endpoint em ambas as zonas se houver falha na zona que hospeda o serviço. Considere também que, quando você habilita o balanceamento de carga entre zonas para um Network Load Balancer, as tarifas de transferência de dados do EC2 se aplicam.

O consumidor pode criar endpoints da VPC de interface nas zonas de disponibilidade em que o serviço de endpoint está disponível. Criaremos uma interface de rede de endpoint em cada sub-rede que o cliente configurar para o endpoint da VPC. Atribuímos endereços IP a cada interface de rede de endpoint a partir de sua sub-rede, com base no tipo de endereço IP do endpoint da VPC. Quando uma solicitação usa o endpoint regional para o serviço de endpoint da VPC, selecionamos uma interface de rede de endpoint íntegra utilizando o algoritmo round robin para alternar entre as interfaces de rede em diferentes zonas de disponibilidade. Em seguida, resolvemos o tráfego para o endereço IP da interface de rede do endpoint selecionada.

O consumidor poderá usar os endpoints zonais para o endpoint da VPC se for melhor para seu caso de uso manter o tráfego na mesma zona de disponibilidade.

## Acesso entre regiões
<a name="endpoint-service-cross-region"></a>

Um provedor de serviço pode hospedar um serviço em uma região e disponibilizá-lo em um conjunto de regiões compatíveis. O consumidor de um serviço seleciona uma região de serviço ao criar um endpoint.

**Permissões**
+ Por padrão, as entidades do IAM não têm permissão para disponibilizar um serviço de endpoint em várias regiões nem para acessar um serviço de endpoint inter-regional. Para conceder as permissões necessárias para acesso inter-regional, um administrador do IAM pode criar políticas do IAM que permitam a ação de permissão somente `vpce:AllowMultiRegion`.
+ Para controlar as regiões que uma entidade do IAM pode especificar como uma região compatível ao criar um serviço de endpoint, use a chave de condição `ec2:VpceSupportedRegion`.
+ Para controlar as regiões que uma entidade do IAM pode especificar como uma região de serviço ao criar um endpoint da VPC, use a chave de condição `ec2:VpceServiceRegion`.

**Considerações**
+ Um provedor de serviço deve fazer a opção por uma região opcional antes de adicioná-la como uma região compatível para um serviço de endpoint.
+ O serviço de endpoint deve ser acessado da região em que está hospedado. Você não pode remover a região hospedeira do conjunto de regiões compatíveis. Para garantir redundância, é possível implantar o serviço de endpoint em várias regiões e habilitar o acesso inter-regional para cada serviço de endpoint.
+ Um consumidor de serviço deve fazer a opção por uma região opcional antes de selecioná-la como uma região de serviço para um endpoint. Sempre que possível, recomendamos que os consumidores de serviço acessem um serviço usando conectividade intrarregional em vez de conectividade inter-regional. A conectividade intrarregional oferece menor latência e custos mais baixos.
+ Se um provedor de serviço remover uma região do conjunto de regiões compatíveis, os consumidores do serviço não poderão selecionar essa região como a região de serviço ao criar novos endpoints. Observe que isso não afeta o acesso ao serviço de endpoint a partir de endpoints existentes que usam essa região como a região de serviço.
+ Para garantir alta disponibilidade, os provedores devem usar pelo menos duas zonas de disponibilidade. O acesso inter-regional não exige que provedores e consumidores usem as mesmas zonas de disponibilidade.
+ O acesso inter-regional não é compatível nas seguintes zonas de disponibilidade: `use1-az3`, `usw1-az2`, `apne1-az3`, `apne2-az2` e `apne2-az4`.
+ Com o acesso entre regiões, AWS PrivateLink gerencia o failover entre as zonas de disponibilidade. Ele não gerencia o failover inter-regional.
+ O acesso inter-regional não é possível em Network Load Balancers com um valor personalizado configurado para o tempo limite de inatividade de TCP.
+ O acesso inter-regional não é compatível com fragmentação UDP.
+ O acesso entre regiões só é suportado para serviços por meio AWS PrivateLink dos quais você compartilha.

## Tipos de endereço IP
<a name="endpoint-service-ip-address-type"></a>

Os provedores de serviços podem disponibilizar seus endpoints de serviço para os consumidores de serviços em IPv4 IPv6, ou em ambos IPv4 IPv6, mesmo que seus servidores de back-end suportem apenas. IPv4 Se você habilitar o suporte dualstack, os consumidores existentes poderão continuar usando IPv4 para acessar seu serviço e os novos consumidores poderão optar por usar IPv6 para acessar seu serviço.

Se houver suporte para uma interface VPC endpoint IPv4, as interfaces de rede de endpoints terão endereços. IPv4 Se houver suporte para uma interface VPC endpoint IPv6, as interfaces de rede de endpoints terão endereços. IPv6 O IPv6 endereço de uma interface de rede de endpoint não pode ser acessado pela Internet. Se você descrever uma interface de rede de endpoint com um IPv6 endereço, observe que ela `denyAllIgwTraffic` está ativada.

**Requisitos IPv6 para habilitar um serviço de endpoint**
+ A VPC e as sub-redes do serviço de endpoint devem ter blocos CIDR associados. IPv6 
+ Todos os Network Load Balancers do serviço de endpoint devem usar o tipo de endereço IP dualstack. Os alvos não precisam suportar o IPv6 tráfego. Se o serviço processar os endereços IP de origem do cabeçalho da versão 2 do protocolo proxy, ele deverá processar IPv6 os endereços.

**Requisitos IPv6 para habilitar um endpoint de interface**
+ O serviço de endpoint deve oferecer suporte às IPv6 solicitações.
+ O tipo de endereço IP de um endpoint da interface deve ser compatível com as sub-redes do endpoint da interface, conforme descrito aqui:
  + **IPv4**— Atribua IPv4 endereços às interfaces de rede do seu terminal. Essa opção é suportada somente se todas as sub-redes selecionadas tiverem intervalos de IPv4 endereços.
  + **IPv6**— Atribua IPv6 endereços às interfaces de rede do seu terminal. Essa opção é suportada somente se todas as sub-redes selecionadas forem IPv6 somente sub-redes.
  + **Dualstack** — atribua IPv6 endereços IPv4 e endereços às suas interfaces de rede de endpoints. Essa opção é suportada somente se todas as sub-redes selecionadas tiverem intervalos de IPv6 endereços IPv4 e ambos.

**Tipo de endereço IP do registro DNS para um endpoint da interface**

O tipo de endereço IP do registro DNS compatível com um endpoint da interface determina os registros DNS que criamos. O tipo de endereço IP do registro DNS de um endpoint de interface deve ser compatível com o tipo de endereço IP do endpoint da interface, conforme descrito aqui:
+ **IPv4**— Crie registros A para os nomes DNS privados, regionais e zonais. O tipo de endereço IP deve ser **IPv4**ou **Dualstack**.
+ **IPv6**— Crie registros AAAA para os nomes DNS privados, regionais e zonais. O tipo de endereço IP deve ser **IPv6**ou **Dualstack**.
+ **Dualstack**: crie registros A e AAAA para nomes DNS privados, regionais e zonais. O tipo de endereço IP deve ser **Dualstack**.

# Crie um serviço desenvolvido por AWS PrivateLink
<a name="create-endpoint-service"></a>

Você pode criar seu próprio serviço desenvolvido por AWS PrivateLink, conhecido como *serviço de endpoint*. Você é o provedor de serviços, e as entidades principais da AWS que criam conexões ao serviço são os consumidores do serviço.

Os serviços de endpoint necessitam de um Network Load Balancer ou de um Gateway Load Balancer. O balanceador de carga recebe solicitações de consumidores do serviço e as encaminha ao serviço. Neste caso, você criará um serviço de endpoint usando um Network Load Balancer. Para obter mais informações sobre como criar um serviço de endpoint usando um Gateway Load Balancer, consulte [Acessar dispositivos virtuais](vpce-gateway-load-balancer.md).

**Topics**
+ [Considerações](#considerations-endpoint-services)
+ [Pré-requisitos](#prerequisites-endpoint-services)
+ [Criar um serviço de endpoint](#create-endpoint-service-nlb)
+ [Disponibilizar o serviço de endpoint aos consumidores do serviço](#share-endpoint-service)
+ [Conectar-se a um serviço de endpoint como consumidor do serviço](#connect-to-endpoint-service)

## Considerações
<a name="considerations-endpoint-services"></a>
+ O serviço de endpoint está disponível na região em que você o criou. Os consumidores poderão acessar seu serviço de outras regiões se você habilitar o [acesso inter-regional](privatelink-share-your-services.md#endpoint-service-cross-region) ou se usarem emparelhamento de VPC ou um gateway de trânsito.
+ Ao recuperarem informações sobre um serviço de endpoint, os clientes podem ver somente as zonas de disponibilidade que têm em comum com o provedor de serviços. Quando o provedor de serviços e o consumidor do serviço estão em contas diferentes, um nome de zona de disponibilidade, como `us-east-1a`, pode ser mapeado para uma zona de disponibilidade física diferente em cada Conta da AWS. Você pode usar o AZ IDs para identificar consistentemente as zonas de disponibilidade do seu serviço. Para obter mais informações, consulte [AZ IDs](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-regions-availability-zones.html#az-ids) no Guia do *usuário do Amazon EC2*.
+ Quando os consumidores do serviço enviarem tráfego a um serviço por meio de um endpoint da interface, os endereços IP de origem fornecidos para a aplicação serão os endereços IP privados dos nós do balanceador de carga, e não os endereços IP dos consumidores do serviço. Se você habilitar o protocolo proxy no balanceador de carga, poderá obter os endereços dos consumidores do serviço e dos endpoints IDs da interface no cabeçalho do protocolo proxy. Para mais informações, consulte [Protocolo proxy](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/load-balancer-target-groups.html#proxy-protocol) no *Guia do usuário de Network Load Balancers*.
+ Um Network Load Balancer pode ser associado a um único serviço de endpoint, mas um serviço de endpoint pode ser associado a vários Network Load Balancers.
+ Se um serviço de endpoint for associado a vários Network Load Balancers, cada interface de rede de endpoint estará associado a um balanceador de carga. Quando a primeira conexão de uma interface de rede de endpoint é iniciada, selecionamos aleatoriamente um Network Load Balancer na mesma zona de disponibilidade da interface de rede do endpoint. Todas as solicitações de conexão subsequentes dessa interface de rede de endpoint usam o balanceador de carga selecionado. Recomendamos que você use a mesma configuração de receptor e grupo de destino para todos os balanceadores de carga de um serviço de endpoint, para que os consumidores possam usar o serviço de endpoint com sucesso, independentemente do balanceador de carga escolhido.
+ Há cotas em seus AWS PrivateLink recursos. Para obter mais informações, consulte [AWS PrivateLinkCotas do](vpc-limits-endpoints.md).

## Pré-requisitos
<a name="prerequisites-endpoint-services"></a>
+ Crie uma VPC do serviço de endpoint com pelo menos uma sub-rede em cada zona de disponibilidade em que o serviço deverá ser disponibilizado.
+ Para permitir que os consumidores de serviços criem endpoints VPC de IPv6 interface para seu serviço de endpoint, a VPC e as sub-redes devem ter blocos CIDR associados. IPv6 
+ Crie um Network Load Balancer na VPC. Selecione uma sub-rede em cada zona de disponibilidade em que o serviço deverá estar disponível para os consumidores do serviço. Para obter baixa latência e tolerância a falhas, recomenda-se disponibilizar o serviço em pelo menos duas zonas de disponibilidade na região.
+ Se o Network Load Balancer tiver um grupo de segurança, ele deverá permitir o tráfego de entrada dos endereços IP dos clientes. Como alternativa, você pode desativar a avaliação das regras do grupo de segurança de entrada para o tráfego de passagem AWS PrivateLink. Para mais informações, consulte [Grupos de segurança](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/load-balancer-security-groups.html) no *Manual do usuário de Network Load Balancers*.
+ Para permitir que seu serviço de endpoint aceite IPv6 solicitações, seus balanceadores de carga de rede devem usar o tipo de endereço IP dualstack. Os alvos não precisam suportar o IPv6 tráfego. Para mais informações, consulte [IP address type](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/network-load-balancers.html#ip-address-type) (Tipo de endereço IP) no *Manual do usuário de Network Load Balancers*.

  Se você processar endereços IP de origem a partir do cabeçalho do protocolo proxy versão 2, verifique se você pode processar IPv6 endereços.
+ Inicie instâncias em cada zona de disponibilidade em que o serviço deverá estar disponível e registre-as em um grupo de destino do balanceador de carga. Se você não executar instâncias em todas as zonas de disponibilidade habilitadas, poderá habilitar o balanceamento de carga entre zonas para oferecer suporte aos consumidores de serviços que usam nomes de host DNS zonais para acessar o serviço. Aplicam-se cobranças de transferência de dados regionais quando o balanceamento de carga entre zonas está habilitado. Para mais informações, consulte [Cross-zone load balancing](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/network-load-balancers.html#cross-zone-load-balancing) (Balanceamento de carga entre zonas) no *Manual do usuário de Network Load Balancers*.

## Criar um serviço de endpoint
<a name="create-endpoint-service-nlb"></a>

Use o seguinte procedimento para criar um serviço de endpoint usando um Network Load Balancer.

**Para criar um serviço de endpoint usando o console**

1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. No painel de navegação, escolha **Endpoint Services** (Serviços do endpoint).

1. Escolha **Create endpoint service** (Criar serviço de endpoint).

1. Em **Load balancer type** (Tipo de balanceador de carga), escolha **Network** (Rede).

1. Em **Available load balancers** (Balanceadores de carga disponíveis), selecione os balanceadores de carga de rede para associar ao serviço de endpoint. Para ver as zonas de disponibilidade que estão habilitadas para o balanceador de carga selecionado, consulte **Details of selected load balancers**, **Included Availability Zones**. Seu serviço de endpoint estará disponível nessas zonas de disponibilidade.

1. (Opcional) Para disponibilizar o serviço de endpoint em regiões diferentes daquele em que ele está hospedado, selecione-as em **Regiões do serviço**. Para obter mais informações, consulte [Acesso entre regiões](privatelink-share-your-services.md#endpoint-service-cross-region).

1. Em **Require acceptance for endpoint** (Exigir aceitação para o endpoint), selecione **Acceptance required** (Aceitação obrigatória) para exigir que as solicitações de conexão ao serviço de endpoint sejam aceitas manualmente. Senão, essas solicitações serão aceitas automaticamente.

1. Em **Enable private DNS name** (Habilitar nome DNS privado), selecione **Associate a private DNS name with the service** (Associar um nome DNS privado ao serviço) para associar um nome DNS privado que os consumidores podem usar para acessar seu serviço e insira o nome DNS privado. Caso contrário, os consumidores do serviço podem usar o nome DNS específico do endpoint fornecido por. AWS Antes que os consumidores do serviço possam usar o nome DNS, o provedor de serviços deve verificar se eles são proprietários do domínio. Para obter mais informações, consulte [Gerenciar nomes DNS](manage-dns-names.md).

1. Em **Supported IP address types** (Tipos de endereço IP compatíveis), siga um destes procedimentos:
   + Selecione **IPv4**— Habilite o serviço de endpoint para aceitar IPv4 solicitações.
   + Selecione **IPv6**— Habilite o serviço de endpoint para aceitar IPv6 solicitações.
   + Selecione **IPv4**e **IPv6**— Ative o serviço de endpoint para aceitar ambas IPv4 as IPv6 solicitações.

1. (Opcional) Para adicionar uma tag, escolha **Add new tag** (Adicionar nova tag) e insira a chave e o valor da tag.

1. Escolha **Criar**.

**Para criar um serviço de endpoint usando a linha de comando**
+ [create-vpc-endpoint-service-configuração](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-vpc-endpoint-service-configuration.html) ()AWS CLI
+ [New-EC2VpcEndpointServiceConfiguration](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2VpcEndpointServiceConfiguration.html)(Ferramentas para Windows PowerShell)

## Disponibilizar o serviço de endpoint aos consumidores do serviço
<a name="share-endpoint-service"></a>

AWS os diretores podem se conectar ao seu serviço de endpoint de forma privada criando uma interface VPC endpoint. Os provedores de serviços devem fazer o seguinte para disponibilizar seus serviços aos consumidores.
+ Adicione permissões para que cada consumidor do serviço se conecte ao serviço de endpoint. Para obter mais informações, consulte [Gerenciar permissões](configure-endpoint-service.md#add-remove-permissions).
+ Forneça ao consumidor do serviço o nome do serviço e as zonas de disponibilidade compatíveis para que ele possa criar um endpoint da interface para se conectar ao serviço. Para obter mais informações, consulte [Conectar-se a um serviço de endpoint como consumidor do serviço](#connect-to-endpoint-service).
+ Aceite a solicitação de conexão do endpoint do consumidor do serviço. Para obter mais informações, consulte [Aceitar ou rejeitar solicitações de conexão](configure-endpoint-service.md#accept-reject-connection-requests).

## Conectar-se a um serviço de endpoint como consumidor do serviço
<a name="connect-to-endpoint-service"></a>

Um consumidor do serviço usa o seguinte procedimento para criar um endpoint da interface para se conectar ao serviço de endpoint.

**Para criar um endpoint da interface usando o console**

1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. No painel de navegação, escolha **Endpoints**.

1. Escolha **Criar endpoint**.

1. Em **Tipo**, escolha **Serviços de endpoint que usam NLBs e. GWLBs**

1. Em **Nome do serviço**, insira o nome do serviço (por exemplo, `com.amazonaws.vpce.us-east-1.vpce-svc-0e123abc123198abc`) e escolha **Verificar serviço**.

1. (Opcional) Para se conectar a um serviço de endpoint que esteja disponível em uma região diferente da região do endpoint, selecione **Região do serviço**, **Habilitar endpoint inter-regional** e depois selecione a região. Para obter mais informações, consulte [Acesso entre regiões](privatelink-share-your-services.md#endpoint-service-cross-region).

1. Em **VPC**, selecione a VPC da qual você acessará o serviço de endpoint.

1. Em **Sub-redes**, selecione as sub-redes nas quais serão criadas as interfaces de rede de endpoint.

1. Em **IP address type** (Tipo de endereço IP), escolha uma das seguintes opções:
   + **IPv4**— Atribua IPv4 endereços às interfaces de rede do endpoint. Essa opção é suportada somente se todas as sub-redes selecionadas tiverem intervalos de IPv4 endereços e o serviço de endpoint aceitar solicitações. IPv4 
   + **IPv6**— Atribua IPv6 endereços às interfaces de rede do endpoint. Essa opção é suportada somente se todas as sub-redes selecionadas forem IPv6 somente sub-redes e o serviço de endpoint aceitar solicitações. IPv6 
   + **Dualstack** — atribua IPv6 endereços IPv4 e endereços às interfaces de rede do endpoint. Essa opção é suportada somente se todas as sub-redes selecionadas tiverem intervalos de IPv6 endereços IPv4 e se o serviço de endpoint aceitar ambas as IPv4 solicitações. IPv6 

1. Em **DNS record IP type** (Tipo de IP de registro DNS), escolha uma das seguintes opções:
   + **IPv4**— Crie registros A para os nomes DNS privados, regionais e zonais. O tipo de endereço IP deve ser **IPv4**ou **Dualstack**.
   + **IPv6**— Crie registros AAAA para os nomes DNS privados, regionais e zonais. O tipo de endereço IP deve ser **IPv6**ou **Dualstack**.
   + **Dualstack**: crie registros A e AAAA para nomes DNS privados, regionais e zonais. O tipo de endereço IP deve ser **Dualstack**.
   + **Serviço definido**: crie registros A para os nomes DNS privados, regionais e zonais e registros AAAA para os nomes DNS regionais e zonais. O tipo de endereço IP deve ser **Dualstack**.

1. Para **Security group** (Grupo de segurança), selecione os grupos de segurança para associar às interfaces de rede do endpoint.

1. Escolha **Criar endpoint**.

**Para criar um endpoint da interface usando a linha de comando**
+ [create-vpc-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-vpc-endpoint.html) (AWS CLI)
+ [New-EC2VpcEndpoint](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2VpcEndpoint.html)(Ferramentas para Windows PowerShell)

# Configurar um serviço de endpoint
<a name="configure-endpoint-service"></a>

Depois de criar um serviço de endpoint, você pode atualizar a configuração.

**Topics**
+ [Gerenciar permissões](#add-remove-permissions)
+ [Aceitar ou rejeitar solicitações de conexão](#accept-reject-connection-requests)
+ [Manage load balancers (Gerenciar balanceadores de carga)](#associate-load-balancer)
+ [Associar um nome DNS privado](#associate-private-dns-name)
+ [Modificar as regiões compatíveis](#manage-supported-regions)
+ [Modificar os tipos de endereço IP compatíveis](#supported-ip-address-types)
+ [Gerenciar tags](#add-remove-endpoint-service-tags)

## Gerenciar permissões
<a name="add-remove-permissions"></a>

A combinação de permissões e configurações de aceitação ajuda você a controlar quais consumidores de serviços (AWS diretores) podem acessar seu serviço de endpoint. Por exemplo, é possível conceder permissões a entidades principais específicas em que você confia e aceitar automaticamente todas as solicitações de conexão ou conceder permissões a um grupo maior de entidades principais e aceitar manualmente as solicitações de conexão específicas em que você confia.

Por padrão, o serviço de endpoint não está disponível aos consumidores do serviço. Você deve adicionar permissões que permitam que AWS diretores específicos criem uma interface VPC endpoint para se conectar ao seu serviço de endpoint. Para adicionar permissões para um AWS diretor, você precisa do Amazon Resource Name (ARN). A lista a seguir inclui exemplos ARNs de AWS diretores suportados.ARNs para AWS diretores

Conta da AWS (inclui todos os diretores na conta)  
arn:aws:iam: ::root *account\$1id*

Perfil  
 arn:aws:iam: ::role/ *account\$1id* *role\$1name*

Usuário  
arn:aws:iam: ::usuário/ *account\$1id* *user\$1name*

Todos os diretores ao todo Contas da AWS  
\$1

**Considerações**
+ Se você conceder permissão a todos para acessar o serviço de endpoint e configurar o serviço de endpoint para aceitar todas as solicitações, seu balanceador de carga será público, mesmo que não tenha um endereço IP público.
+ Se você remover as permissões, isso não afetará as conexões existentes entre o endpoint e o serviço que foram aceitas anteriormente.

**Para gerenciar as permissões para o serviço de endpoint usando o console**

1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. No painel de navegação, escolha **Endpoint Services** (Serviços do endpoint).

1. Selecione o serviço de endpoint e escolha a guia **Allow principals** (Permitir entidades principals).

1. Para adicionar permissões, escolha **Allow principals** (Permitir entidades principals). Em **Principals to add**, (Entidades principais a serem adicionadas), insira o ARN da entidade principal. Para adicionar outra entidade principal, escolha **Add principal** (Adicionar principal). Quando terminar de adicionar as entidades principais, escolha **Allow principals** (Permitir entidades principals).

1. Para remover permissões, selecione a entidade principal e escolha **Actions** (Ações), **Delete** (Excluir). Quando a confirmação for solicitada, insira **delete** e selecione **Excluir**.

**Para adicionar permissões para o serviço de endpoint usando a linha de comando**
+ [modify-vpc-endpoint-service-permissões](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpc-endpoint-service-permissions.html) ()AWS CLI
+ [Edit-EC2EndpointServicePermission](https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2EndpointServicePermission.html)(Ferramentas para Windows PowerShell)

## Aceitar ou rejeitar solicitações de conexão
<a name="accept-reject-connection-requests"></a>

A combinação de permissões e configurações de aceitação ajuda você a controlar quais consumidores de serviços (AWS diretores) podem acessar seu serviço de endpoint. Por exemplo, é possível conceder permissões a entidades principais específicas em que você confia e aceitar automaticamente todas as solicitações de conexão ou conceder permissões a um grupo maior de entidades principais e aceitar manualmente as solicitações de conexão específicas em que você confia.

É possível configurar o serviço de endpoint para aceitar solicitações de conexão automaticamente. Senão, será necessário aceitá-los ou rejeitá-los manualmente. Se você não aceitar uma solicitação de conexão, o consumidor do serviço não poderá acessar o serviço de endpoint.

Se você conceder permissão a todos para acessar o serviço de endpoint e configurar o serviço de endpoint para aceitar todas as solicitações, seu balanceador de carga será público, mesmo que não tenha um endereço IP público.

É possível receber uma notificação quando uma solicitação de conexão é aceita ou rejeitada. Para obter mais informações, consulte [Receber alertas para eventos de serviço de endpoint](create-notification-endpoint-service.md).

**Para modificar a configuração de aceitação usando o console**

1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. No painel de navegação, escolha **Endpoint Services** (Serviços do endpoint).

1. Selecione o serviço de endpoint.

1. Escolha **Actions**, **Modify endpoint acceptance setting**.

1. Selecionar ou desmarcar **Acceptance required** (Aceitação obrigatória).

1. Selecione **Save changes** (Salvar alterações)

**Para modificar a configuração de aceitação usando a linha de comando**
+ [modify-vpc-endpoint-service-configuração](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpc-endpoint-service-configuration.html) ()AWS CLI
+ [Edit-EC2VpcEndpointServiceConfiguration](https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2VpcEndpointServiceConfiguration.html)(Ferramentas para Windows PowerShell)

**Para aceitar ou rejeitar uma solicitação de conexão usando o console**

1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. No painel de navegação, escolha **Endpoint Services** (Serviços do endpoint).

1. Selecione o serviço de endpoint.

1. Na guia **Endpoint connections** (Conexões de endpoint), selecione a conexão de endpoint.

1. Para aceitar a solicitação de conexão, escolha **Actions** (Ações), **Accept endpoint connection request** (Aceitar solicitação de conexão de endpoint). Quando a confirmação for solicitada, insira **accept** e escolha **Accept** (Aceitar).

1. Para rejeitar a solicitação de conexão, escolha **Actions** (Ações),**Reject endpoint connection request** (Rejeitar solicitação de conexão de endpoint). Quando a confirmação for solicitada, insira **reject** e escolha **Reject** (Rejeitar).

**Para aceitar ou rejeitar uma solicitação de conexão usando a linha de comando**
+ [accept-vpc-endpoint-connections](https://docs.aws.amazon.com/cli/latest/reference/ec2/accept-vpc-endpoint-connections.html)ou [reject-vpc-endpoint-connections](https://docs.aws.amazon.com/cli/latest/reference/ec2/reject-vpc-endpoint-connections.html)(AWS CLI)
+ [Approve-EC2EndpointConnection](https://docs.aws.amazon.com/powershell/latest/reference/items/Approve-EC2EndpointConnection.html)ou [Deny-EC2EndpointConnection](https://docs.aws.amazon.com/powershell/latest/reference/items/Deny-EC2EndpointConnection.html)(Ferramentas para Windows PowerShell)

## Manage load balancers (Gerenciar balanceadores de carga)
<a name="associate-load-balancer"></a>

É possível gerenciar os balanceadores de carga associados ao serviço de endpoint. Não será possível dissociar um balanceador de carga se houver endpoints conectados ao serviço de endpoint.

Se você habilitar outra zona de disponibilidade para os balanceadores de carga, a zona de disponibilidade aparecerá na guia **Balanceadores de carga** na página **Serviços de endpoint**. Porém, ela não estará habilitada para o serviço de endpoint nem listada na guia **Detalhes** do serviço de endpoint no Console de gerenciamento da AWS. Você precisará habilitar o serviço de endpoint para a nova zona de disponibilidade.

Pode levar alguns minutos para que a zona de disponibilidade do balanceador de carga esteja pronta para o serviço de endpoint. Se você estiver usando uma automação, recomendamos que adicione uma espera ao processo de automação antes de habilitar o serviço de endpoint para a nova zona de disponibilidade.

**Para gerenciar os balanceadores de carga para o serviço de endpoint usando o console**

1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. No painel de navegação, escolha **Endpoint Services** (Serviços do endpoint).

1. Selecione o serviço de endpoint.

1. Escolha **Actions** (Ações), **Associate or disassociate load balancers** (Associar ou desassociar balanceadores de carga).

1. Alterar a configuração do serviço do endpoint conforme necessário. Por exemplo:
   + Marque a caixa de seleção para um balanceador de carga e associe-o ao serviço de endpoint.
   + Limpe a caixa de seleção de um balanceador de carga para desassociá-lo do serviço de endpoint. Você deve manter pelo menos um balanceador de carga selecionado.

1. Selecione **Save changes** (Salvar alterações)

   O serviço de endpoint será habilitado para todas as novas zonas de disponibilidade adicionadas ao balanceador de carga. A nova zona de disponibilidade está listada na guia **Balanceadores de carga** e na guia **Detalhes** do serviço de endpoint.

 Depois de habilitar uma zona de disponibilidade para o serviço de endpoint, os consumidores do serviço podem adicionar uma sub-rede nessa zona de disponibilidade aos endpoint de VPC da interface.

**Para gerenciar os balanceadores de carga para o serviço de endpoint usando a linha de comando**
+ [modify-vpc-endpoint-service-configuração](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpc-endpoint-service-configuration.html) ()AWS CLI
+ [Edit-EC2VpcEndpointServiceConfiguration](https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2VpcEndpointServiceConfiguration.html)(Ferramentas para Windows PowerShell)

Para habilitar o serviço de endpoint em uma zona de disponibilidade que foi habilitada recentemente para o balanceador de carga, basta chamar o comando com o ID do serviço de endpoint.

## Associar um nome DNS privado
<a name="associate-private-dns-name"></a>

É possível associar um nome DNS privado ao serviço de endpoint. Após associar um nome de DNS privado, você deverá atualizar a entrada para o domínio no servidor de DNS. Antes que os consumidores do serviço possam usar o nome DNS, o provedor de serviços deve verificar se eles são proprietários do domínio. Para obter mais informações, consulte [Gerenciar nomes DNS](manage-dns-names.md).

**Para modificar um nome de DNS privado do serviço de endpoint usando o console**

1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. No painel de navegação, escolha **Endpoint Services** (Serviços do endpoint).

1. Selecione o serviço de endpoint.

1. Escolha **Actions** (Ações), **Modify private DNS name** (Modificar nome DNS privado).

1. Selecione **Associate a private DNS name with the service** (Associar um nome DNS privado ao serviço) e insira o nome DNS privado.
   + Os nomes de domínio devem usar letras minúsculas.
   + Você pode usar curingas em nomes de domínio (por exemplo, **\$1.myexampleservice.com**).

1. Escolha **Salvar alterações**.

1. O nome DNS privado está pronto para ser usado pelos consumidores do serviço quando o status de verificação é **verified** (verificado). Se o status da verificação for alterado, as novas solicitações de conexão serão negadas, mas as conexões existentes não serão afetadas.

**Para modificar um nome de DNS privado do serviço de endpoint usando a linha de comando**
+ [modify-vpc-endpoint-service-configuração](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpc-endpoint-service-configuration.html) ()AWS CLI
+ [Edit-EC2VpcEndpointServiceConfiguration](https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2VpcEndpointServiceConfiguration.html)(Ferramentas para Windows PowerShell)

**Para iniciar o processo de verificação de domínio usando o console**

1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. No painel de navegação, escolha **Endpoint Services** (Serviços do endpoint).

1. Selecione o serviço de endpoint.

1. Escolha **Actions** (Ações), **Verify domain ownership for private DNS name** (Verificar a propriedade do domínio para o nome DNS privado). 

1. Quando a confirmação for solicitada, insira **verify** e escolha **Verify** (Verificar).

**Para iniciar o processo de verificação de domínio usando a linha de comando**
+ [start-vpc-endpoint-service-private-dns-verification](https://docs.aws.amazon.com/cli/latest/reference/ec2/start-vpc-endpoint-service-private-dns-verification.html) (AWS CLI)
+ [Start-EC2VpcEndpointServicePrivateDnsVerification](https://docs.aws.amazon.com/powershell/latest/reference/items/Start-EC2VpcEndpointServicePrivateDnsVerification.html)(Ferramentas para Windows PowerShell)

## Modificar as regiões compatíveis
<a name="manage-supported-regions"></a>

Você pode modificar o conjunto de regiões compatíveis com o serviço de endpoint. Antes de adicionar uma região opcional, você precisa optar por ela. Você não pode remover a região que hospeda o serviço de endpoint.

Depois que você remove uma região, os consumidores do serviço não podem criar novos endpoints que a especifiquem como a região do serviço. A remoção de uma região não afeta os endpoints existentes que a especificam como a região do serviço. Ao remover uma região, recomendamos que você rejeite todas as conexões de endpoint existentes dessa região.

**Para modificar as regiões compatíveis com o serviço de endpoint**

1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. No painel de navegação, escolha **Endpoint Services** (Serviços do endpoint).

1. Selecione o serviço de endpoint.

1. Escolha **Ações**, **Modificar regiões compatíveis**.

1. Selecione e desmarque as regiões conforme necessário.

1. Escolha **Salvar alterações**.

## Modificar os tipos de endereço IP compatíveis
<a name="supported-ip-address-types"></a>

Você pode alterar os tipos de endereço IP que são compatíveis com seu serviço de endpoint.

**Consideração**  
Para permitir que seu serviço de endpoint aceite IPv6 solicitações, seus balanceadores de carga de rede devem usar o tipo de endereço IP dualstack. Os alvos não precisam suportar o IPv6 tráfego. Para mais informações, consulte [IP address type](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/network-load-balancers.html#ip-address-type) (Tipo de endereço IP) no *Manual do usuário de Network Load Balancers*.

**Para modificar os tipos de endereço IP compatíveis usando o console**

1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. No painel de navegação, escolha **Endpoint Services** (Serviços do endpoint).

1. Selecione o serviço de endpoint da VPC.

1. Escolha **Actions** (Ações), **Modify supported IP address types** (Modificar os tipos de endereço IP compatíveis).

1. Em **Supported IP address types** (Tipos de endereço IP compatíveis), siga um destes procedimentos:
   + Selecione **IPv4**— Habilite o serviço de endpoint para aceitar IPv4 solicitações.
   + Selecione **IPv6**— Habilite o serviço de endpoint para aceitar IPv6 solicitações.
   + Selecione **IPv4**e **IPv6**— Ative o serviço de endpoint para aceitar ambas IPv4 as IPv6 solicitações.

1. Escolha **Salvar alterações**.

**Para modificar os tipos de endereço IP compatíveis usando a linha de comando**
+ [modify-vpc-endpoint-service-configuração](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpc-endpoint-service-configuration.html) ()AWS CLI
+ [Edit-EC2VpcEndpointServiceConfiguration](https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2VpcEndpointServiceConfiguration.html)(Ferramentas para Windows PowerShell)

## Gerenciar tags
<a name="add-remove-endpoint-service-tags"></a>

Você pode marcar os recursos para ajudar a identificá-los ou categorizá-los de acordo com as necessidades da organização.

**Para gerenciar as tags para o serviço de endpoint usando o console**

1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. No painel de navegação, escolha **Endpoint Services** (Serviços do endpoint).

1. Selecione o serviço de endpoint da VPC.

1. Selecione **Ações**, **Gerenciar tags**.

1. Para cada etiqueta a ser adicionada, escolha **Add new tag** (Adicionar nova etiqueta) e insira a chave da etiqueta e o valor da etiqueta.

1. Para remover uma etiqueta, escolha **Remove** (Remover) à direita da chave e do valor da etiqueta.

1. Escolha **Salvar**.

**Para gerenciar as tags para as conexões de endpoint usando o console**

1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. No painel de navegação, escolha **Endpoint Services** (Serviços do endpoint).

1. Selecione o serviço de endpoint da VPC e, em seguida, escolha a guia **Endpoint connections** (Conexões d endpoint).

1. Selecione a conexão de endpoint e depois escolha **Actions** (Ações), **Manage tags** (Gerenciar tags).

1. Para cada etiqueta a ser adicionada, escolha **Add new tag** (Adicionar nova etiqueta) e insira a chave da etiqueta e o valor da etiqueta.

1. Para remover uma etiqueta, escolha **Remove** (Remover) à direita da chave e do valor da etiqueta.

1. Escolha **Salvar**.

**Para gerenciar as tags para as permissões do serviço de endpoint usando o console**

1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. No painel de navegação, escolha **Endpoint Services** (Serviços do endpoint).

1. Selecione o serviço de endpoint da VPC e depois escolha a guia **Allow principals** (Permitir entidades principals).

1. Selecione a entidade principal e depois escolha **Actions** (Ações), **Manage tags** (Gerenciar tags).

1. Para cada etiqueta a ser adicionada, escolha **Add new tag** (Adicionar nova etiqueta) e insira a chave da etiqueta e o valor da etiqueta.

1. Para remover uma etiqueta, escolha **Remove** (Remover) à direita da chave e do valor da etiqueta.

1. Escolha **Salvar**.

**Para adicionar e remover etiquetas usando a linha de comando**
+ [create-tags](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-tags.html) and [delete-tags](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-tags.html) (AWS CLI)
+ [New-EC2Tag](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2Tag.html)e [Remove-EC2Tag](https://docs.aws.amazon.com/powershell/latest/reference/items/Remove-EC2Tag.html)(Ferramentas para Windows PowerShell)

# Nomes DNS gerenciados para serviços de endpoint da VPC
<a name="manage-dns-names"></a>

Os provedores de serviços podem configurar nomes DNS privados para serviços de endpoint. Suponha que um provedor de serviço disponibilize seu serviço por um endpoint público como um serviço de endpoint. Se o provedor de serviço usar o nome DNS do endpoint público como o nome DNS privado do serviço de endpoint, os consumidores do serviço poderão acessar o endpoint público ou o serviço de endpoint usando a mesma aplicação cliente, sem modificação. Se uma solicitação vier da VPC do consumidor do serviço, os servidores DNS privados resolverão o nome DNS para os endereços IP das interfaces de rede de endpoint. Caso contrário, os servidores DNS públicos resolverão o nome DNS para o endpoint público.

Para configurar um nome de DNS privado para o serviço de endpoint, você deve executar uma verificação de propriedade do domínio para comprovar que o domínio é seu.

**Considerações**
+ O serviço de endpoint pode ter somente um nome de DNS privado.
+ Quando o consumidor cria um endpoint de interface para se conectar ao serviço, nós criamos uma zona hospedada privada e a associamos à VPC do consumidor do serviço. Criamos um registro CNAME na zona hospedada privada que mapeia o nome DNS privado do serviço de endpoint para o nome DNS regional do endpoint da VPC. Quando um consumidor envia uma solicitação para o nome DNS público do serviço, os servidores DNS privados resolvem a solicitação para os endereços IP das interfaces de rede de endpoint.
+ Para verificar um domínio, é necessário ter um nome de host público ou um provedor DNS público.
+ Você pode verificar o domínio de um subdomínio. Por exemplo, você pode verificar *example.com*, em vez de *a.example.com*. Cada rótulo DNS pode ter até 63 caracteres e o nome de domínio inteiro não deve exceder um comprimento total de 255 caracteres.

  Se adicionar um subdomínio adicional, será necessário verificar o subdomínio ou o domínio. Por exemplo, digamos que você tinha *a.example.com*, e verificou *example.com*. Agora você adiciona *b.example.com* como um nome de DNS privado. O *example.com* ou *b.example.com* deve ser verificado antes que os consumidores do serviço possam usar o nome.
+ Nomes DNS privados não são compatíveis com endpoints do Gateway Load Balancer.

## Verificação da propriedade do domínio
<a name="verify-domain-ownership"></a>

Seu domínio está associado a um conjunto de registros de serviços de nomes de domínio (DNS) que você pode gerenciar por meio do seu provedor de DNS. Um registro TXT é um tipo de registro DNS que fornece informações adicionais sobre seu domínio. Consiste em um nome e um valor. Como parte do processo de verificação, é necessário adicionar um registro TXT ao servidor DNS de seu domínio público.

A verificação de propriedade de domínio estará concluída quando detectarmos a existência do registro TXT nas configurações de DNS do domínio.

Após adicionar um registro, você pode verificar o status do processo de verificação de domínio usando o console da Amazon VPC. No painel de navegação, escolha **Endpoint Services** (Serviços do endpoint). Selecione o serviço de endpoint e verifique o valor de **Domain verification status** (Status da verificação do domínio) na guia **Details** (Detalhes). Se a verificação do domínio estiver pendente, aguarde mais alguns minutos e atualize a tela. Se necessário, você pode iniciar o processo de verificação manualmente. Escolha **Actions** (Ações), **Verify domain ownership for private DNS name** (Verificar a propriedade do domínio para o nome DNS privado).

O nome DNS privado está pronto para ser usado pelos consumidores do serviço quando o status de verificação é **verified** (verificado). Se o status da verificação for alterado, as novas solicitações de conexão serão negadas, mas as conexões existentes não serão afetadas.

Se o status da verificação for **failed** (com falha), consulte [Solucionar problemas de verificação de domínio](#troubleshoot-domain-verification).

## Obtenha o nome e o valor
<a name="get-name-and-value"></a>

Fornecemos o nome e o valor que você utiliza no registro TXT. Por exemplo, as informações estão disponíveis no Console de gerenciamento da AWS. Selecione o serviço de endpoint e consulte **Domain verification name** (Nome de verificação de domínio) e **Domain verification value** (Valor de verificação de domínio) na guia **Details** (Detalhes) do serviço de endpoint. Você também pode usar o seguinte AWS CLI comando [describe-vpc-endpoint-service-configurations](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-vpc-endpoint-service-configurations.html) para recuperar informações sobre a configuração do nome DNS privado para o serviço de endpoint especificado.

```
aws ec2 describe-vpc-endpoint-service-configurations \
    --service-ids vpce-svc-071afff70666e61e0 \
    --query ServiceConfigurations[*].PrivateDnsNameConfiguration
```

O seguinte é um exemplo de saída. Você usará `Value` e `Name` ao criar o registro TXT.

```
[
    {
        "State": "pendingVerification",
        "Type": "TXT",
        "Value": "vpce:l6p0ERxlTt45jevFwOCp",
        "Name": "_6e86v84tqgqubxbwii1m"
    }
]
```

Por exemplo, suponhamos que o nome de domínio seja *example.com* e que `Value` e `Name` sejam os mostrados no exemplo de saída anterior. A seguinte tabela é um exemplo das configurações de registro TXT.


| Nome | Tipo | Valor | 
| --- | --- | --- | 
|  \$16e86v84tqgqubxbwii1m.example.com  |  TXT  |  vpce: l6p0 tt45JEvfw ERxl OCp  | 

Sugerimos usar `Name` como subdomínio de registro porque o nome do domínio base pode já estar em uso. Porém, se o provedor de DNS não permitir que nomes de registro de DNS contenham sublinhados, você pode omitir “\$16e86v84tqgqubxbwii1m” e simplesmente usar “example.com” no registro TXT.

Depois de verificarmos “\$16e86v84tqgqubxbwii1m.example.com”, os consumidores do serviço podem usar “example.com” ou um subdomínio (por exemplo, “service.example.com” ou “my.service.example.com”).

## Adicionar um registro TXT ao servidor DNS do seu domínio
<a name="add-txt-record-to-dns-server"></a>

O procedimento para adicionar registros TXT ao servidor DNS do seu domínio depende de quem fornece seu serviço de DNS. O provedor de DNS pode ser o Amazon Route 53 ou outro registrador de nomes de domínio.

### Amazon Route 53
<a name="add-txt-record-route53"></a>

Crie um registro para a zona hospedada pública utilizando uma política de roteamento simples. Use os seguintes valores:
+ Em **Record name** (Nome do registro), insira o domínio ou subdomínio.
+ Em **Record type** (Tipo de registro), escolha **TXT**.
+ Para **Value/Route traffic to** (Valor/encaminhar tráfego para), insira o valor de verificação de domínio.
+ Em **TTL (seconds)** (TTL [segundos]), insira **1800**.

Para obter mais informações, consulte [Criar registros usando o console](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resource-record-sets-creating.html) no *Guia do desenvolvedor do Amazon Route 53*.

### Procedimento geral
<a name="add-txt-record-general"></a>

Acesse o site do provedor de DNS e faça login em sua conta. Localize a página para atualizar os registros DNS de seu domínio. Adicione um registro TXT com o nome e o valor que fornecemos. Pode levar até 48 horas para as atualizações de registros de DNS serem efetivadas, mas a efetivação geralmente ocorre muito antes.

Para obter instruções mais específicas, consulte a documentação de seu provedor de DNS. A seguinte tabela fornece links para a documentação de vários provedores de DNS comuns. Essa lista não pretende ser abrangente nem é uma recomendação dos produtos ou serviços fornecidos por essas empresas.


| Provedor de DNS/hospedagem | Link da documentação | 
| --- | --- | 
|  GoDaddy  |  [Adicionar um registro TXT](https://www.godaddy.com/help/add-a-txt-record-19232)  | 
|  Dreamhost  |  [Adicionar registros DNS personalizados](https://help.dreamhost.com/hc/en-us/articles/360035516812-Adding-custom-DNS-records)  | 
|  Cloudflare  |  [Gerenciar registros DNS](https://developers.cloudflare.com/dns/manage-dns-records/how-to/create-dns-records/)  | 
|  HostGator  |  [Gerencie registros DNS com HostGator /eNom](https://www.hostgator.com/help/article/manage-dns-records-with-hostgatorenom)  | 
|  Namecheap  |  [Como adiciono TXT/SPF/DKIM/DMARC registros ao meu domínio?](https://www.namecheap.com/support/knowledgebase/article.aspx/317/2237/how-do-i-add-txtspfdkimdmarc-records-for-my-domain/)  | 
|  Names.co.uk  |  [Alterar configurações de DNS do domínio](https://www.names.co.uk/support/articles/changing-your-domains-dns-settings/)  | 
|  Wix  |  [Adicionar ou atualizar registros TXT na sua conta do Wix](https://support.wix.com/en/article/adding-or-updating-txt-records-in-your-wix-account)  | 

## Verificar se o registro TXT foi publicado
<a name="verify-txt-record-publication"></a>

Você pode conferir se o registro TXT de verificação de propriedade do domínio de nome DNS privado está publicado corretamente no servidor DNS realizando as seguintes etapas. Você executará o comando **nslookup**, que está disponível para Windows e Linux.

Você consultará os servidores DNS que atendem ao seu domínio porque esses servidores contêm a maioria das up-to-date informações do seu domínio. As informações do domínio podem levar algum tempo para serem propagadas para outros servidores de DNS.

**Para examinar se o registro TXT foi publicado no servidor DNS**

1. Localize os servidores de nome de seu domínio usando o seguinte comando.

   ```
   nslookup -type=NS example.com
   ```

   A saída indicará os servidores de nome que atendem seu domínio. Você poderá consultar um desses servidores na próxima etapa.

1. Verifique se o registro TXT foi publicado corretamente usando o comando a seguir, onde *name\$1server* está um dos servidores de nomes que você encontrou na etapa anterior.

   ```
   nslookup -type=TXT  _6e86v84tqgqubxbwii1m.example.com name_server
   ```

1. Na saída da etapa anterior, verifique se a string após `text =` corresponde ao valor TXT.

   Em nosso exemplo, se o registro tiver sido publicado corretamente, a saída conterá o seguinte:

   ```
   1. _6e86v84tqgqubxbwii1m.example.com text = "vpce:l6p0ERxlTt45jevFwOCp"
   ```

## Solucionar problemas de verificação de domínio
<a name="troubleshoot-domain-verification"></a>

Se o processo de verificação de domínio falhar, as seguintes informações poderão ajudar você a solucionar problemas.
+ Verifique se o provedor de DNS permite sublinhados em nomes de registro TXT. Se o provedor de DNS não permitir sublinhados, você poderá omitir o nome de verificação do domínio (por exemplo, “\$16e86v84tqgqubxbwii1m”) do registro TXT.
+ Verifique se o provedor de DNS acrescentou o nome de domínio ao final do registro TXT. Alguns provedores de DNS anexam automaticamente o nome do seu domínio ao nome de atributo do registro TXT. Para evitar essa duplicação do nome do domínio, adicione um ponto ao final do nome do domínio ao criar o registro TXT. Isso informa ao seu provedor de DNS que não é necessário anexar o nome do domínio ao registro TXT.
+ Verifique se o provedor de DNS modificou o valor do registro DNS para usar apenas letras minúsculas. Verificamos o domínio somente quando há um registro de verificação com um valor de atributo que corresponda exatamente ao valor que fornecemos. Se o provedor de DNS alterou os valores do registro TXT para usar apenas letras minúsculas, entre em contato com o provedor para obter assistência.
+ Talvez seja necessário verificar o domínio mais de uma vez porque você está oferecendo suporte a várias regiões ou a várias Contas da AWS. Se o provedor de DNS não permitir que você tenha mais de um registro TXT com o mesmo nome de atributo, verifique se o provedor de DNS permite atribuir vários valores de atributo ao mesmo registro TXT. Por exemplo, se o DNS for gerenciado pelo Amazon Route 53, será possível usar o seguinte procedimento.

  1. No console do Route 53, selecione o registro TXT que você criou ao verificar o domínio na primeira região.

  1. Em **Value** (Valor), vá até o final do valor de atributo existente e pressione Enter.

  1. Acrescente o valor do atributo para a Região adicional e, em seguida, salve o conjunto de registros.

  Se o provedor de DNS não permitir que você atribua vários valores ao mesmo registro TXT, verifique o domínio uma vez com o valor no nome do atributo do registro TXT e outra vez sem o valor no nome do atributo. Porém, só é possível verificar o mesmo domínio duas vezes.

# Receber alertas para eventos de serviço de endpoint
<a name="create-notification-endpoint-service"></a>

Você pode criar uma notificação para receber alertas de eventos específicos relacionados ao serviço de endpoint. Por exemplo, é possível receber um e-mail quando uma solicitação de conexão é aceita ou rejeitada.

**Topics**
+ [Criação de uma notificação do SNS](#create-sns-notification-endpoint-service)
+ [Adição de uma política de acesso](#add-access-policy-endpoint-service)
+ [Adição de uma política de chave](#add-key-policy-endpoint-service)

## Criação de uma notificação do SNS
<a name="create-sns-notification-endpoint-service"></a>

Use o procedimento a seguir para criar um tópico do Amazon SNS para as notificações e se inscrever nele.

**Para criar uma notificação para um serviço de endpoint da interface usando o console**

1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. No painel de navegação, escolha **Endpoint Services** (Serviços do endpoint).

1. Selecione o serviço de endpoint.

1. Na guia **Notifications** (Notificações), selecione **Create notification** (Criar notificação).

1. Em **Notification ARN** (ARN da notificação), escolha o ARN para o tópico do SNS que você criou.

1. Para assinar um evento, selecione-o em **Events** (Eventos).
   + **Connect** (Conectar): o consumidor do serviço criou o endpoint da interface. Isso envia uma solicitação de conexão ao provedor de serviços.
   + **Accept** (Aceitar): o provedor de serviços aceitou a solicitação de conexão.
   + **Reject** (Rejeitar): o provedor de serviços rejeitou a solicitação de conexão.
   + **Delete** (Excluir): o consumidor do serviço excluiu o endpoint da interface.

1. Escolha **Create Notification** (Criar notificação).

**Para criar uma notificação para um serviço de endpoint da interface usando a linha de comando**
+ [create-vpc-endpoint-connection-notificação](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-vpc-endpoint-connection-notification.html) ()AWS CLI
+ [New-EC2VpcEndpointConnectionNotification](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2VpcEndpointConnectionNotification.html)(Ferramentas para Windows PowerShell)

## Adição de uma política de acesso
<a name="add-access-policy-endpoint-service"></a>

Adicione uma política de acesso ao tópico do SNS que AWS PrivateLink permita publicar notificações em seu nome, como as seguintes. Para obter mais informações, consulte: [Como edito a política de acesso do meu tópico do Amazon SNS?](https://repost.aws/knowledge-center/sns-edit-topic-access-policy) Use as chaves de condição globais `aws:SourceArn` e `aws:SourceAccount` para se proteger contra o [problema confused deputy](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "vpce.amazonaws.com"
            },
            "Action": "SNS:Publish",
            "Resource": "arn:aws:sns:us-east-1:111111111111:topic-name",
            "Condition": {
                "ArnLike": {
                    "aws:SourceArn": "arn:aws:ec2:us-east-1:111111111111:vpc-endpoint-service/service-id"
                },
                "StringEquals": {
                    "aws:SourceAccount": "111111111111"
                }
            }
        }
    ]
}
```

------

## Adição de uma política de chave
<a name="add-key-policy-endpoint-service"></a>

Se você estiver usando tópicos de SNS criptografados, a política de recursos da chave KMS deve ser confiável AWS PrivateLink para chamar as operações AWS KMS da API. Veja a seguir um exemplo de política de chave.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "vpce.amazonaws.com"
            },
            "Action": [
                "kms:GenerateDataKey*",
                "kms:Decrypt"
            ],
            "Resource": "arn:aws:kms:us-east-1:111111111111:key/key-id",
            "Condition": {
                "ArnLike": {
                    "aws:SourceArn": "arn:aws:ec2:us-east-1:111111111111:vpc-endpoint-service/service-id"
                },
                "StringEquals": {
                    "aws:SourceAccount": "111111111111"
                }
            }
        }
    ]
}
```

------

# Excluir um serviço de endpoint
<a name="delete-endpoint-service"></a>

Quando não precisar mais de um serviço de endpoint, você poderá excluí-lo. Você não poderá excluir um serviço de endpoint se houver algum endpoint conectado ao serviço de endpoint que esteja no estado `available` ou `pending-acceptance`.

Exluir um serviço de endpoint não exclui o balanceador de carga associado e não afeta os servidores de aplicações registrados nos grupos de destino do balanceador de carga.

**Para excluir um serviço de endpoint usando o console**

1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. No painel de navegação, escolha **Endpoint Services** (Serviços do endpoint).

1. Selecione o serviço de endpoint.

1. Escolha **Actions** (Ações), **Delete endpoint services** (Excluir serviços de endpoint).

1. Quando a confirmação for solicitada, insira **delete** e selecione **Excluir**.

**Para excluir um serviço de endpoint usando a linha de comando**
+ [delete-vpc-endpoint-service-configurações](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-vpc-endpoint-service-configurations.html) ()AWS CLI
+ [Remove-EC2EndpointServiceConfiguration](https://docs.aws.amazon.com/powershell/latest/reference/items/Remove-EC2EndpointServiceConfiguration.html)(Ferramentas para Windows PowerShell)