本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 使用 Amazon EFS 中的接口 VPC 端点
要在虚拟私有云(VPC)与 Amazon EFS API 之间建立专用连接,可以创建接口 VPC 端点。端点提供与 Amazon EFS API 的安全连接,无需互联网网关、NAT 实例或虚拟专用网络(VPN)连接。有关更多信息,请参阅 *Amazon VPC 用户指南中的使用接口 VPC* [终端节点访问 AWS 服务](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html)。
接口 VPC 终端节点由 AWS PrivateLink该功能提供支持,该功能允许使用私有 IP 地址在 AWS 服务之间进行私有通信。要使用 AWS PrivateLink,请使用亚马逊 VPC 控制台、API 或 CLI 在您的 VPC 中为 Amazon EFS 创建接口 VPC 终端节点。这样做会使用为 Amazon EFS API 请求提供服务的私有 IP 地址在您的子网中创建一个弹性网络接口。您还可以 VPCs 使用 Site-to-Site VPN、 Direct Connect或 VPC 对等从本地环境或其他环境访问 VPC 终端节点。有关更多信息,请参阅《Amazon VPC 用户指南》**中的[使用 AWS PrivateLink将 VPC 连接到服务](https://docs.aws.amazon.com/vpc/latest/userguide/endpoint-services-overview.html)。
## 为 Amazon EFS 创建接口端点
要为 Amazon EFS 创建接口 VPC 端点,请执行以下操作之一:
+ `com.amazonaws.region.elasticfilesystem` – 为 Amazon EFS API 操作创建端点。
+ **`com.amazonaws.region.elasticfilesystem-fips`** – 为 Amazon EFS API 创建符合[美国联邦信息处理标准(FIPS)140-2](https://aws.amazon.com/compliance/fips/) 的端点。
有关 Amazon EFS 端点的完整列表,请参阅《Amazon Web Services 一般参考》中的 [Amazon Elastic File System 的端点和配额](https://docs.aws.amazon.com/general/latest/gr/elasticfilesystem.html)**。
有关如何创建接口终端节点的更多信息,请参阅 *Amazon VPC 用户指南中的使用接口 VPC* [终端节点访问 AWS 服务](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html)。
## 为 Amazon EFS 创建 VPC 端点策略
要控制对 Amazon EFS API 的访问权限,您可以将 AWS Identity and Access Management (IAM) 策略附加到您的 VPC 终端节点。此策略指定以下内容:
+ 可执行操作的主体。
+ 可执行的操作。
+ 可对其执行操作的资源。
有关更多信息,请参阅《*Amazon VPC 用户指南*》中的[使用端点策略控制对 VPC 端点的访问](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html)。
以下示例显示了一个 VPC 终端节点策略,该策略拒绝所有人通过终端节点创建 EFS 文件系统的权限。示例策略还授予所有人执行所有其他操作的权限。
```
{
"Statement": [
{
"Action": "*",
"Effect": "Allow",
"Resource": "*",
"Principal": "*"
},
{
"Action": "elasticfilesystem:CreateFileSystem",
"Effect": "Deny",
"Resource": "*",
"Principal": "*"
}
]
}
```