本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# Verified Access 端点
<a name="verified-access-endpoints"></a>

一个 Verified Access 端点代表一个应用程序。每个端点都与一个 Verified Access 组相关联，并继承该组的访问策略。您可以选择将特定于应用程序的端点策略附加到每个端点。

**Topics**
+ [Verified Access 端点类型](#endpoint-types)
+ [验证访问权限如何与共享网 VPCs 和子网配合使用](#shared-vpc)
+ [为 Verified Access 创建负载均衡器端点](create-load-balancer-endpoint.md)
+ [为 Verified Access 创建网络接口端点](create-network-interface-endpoint.md)
+ [为已验证的访问创建网络 CIDR 端点](create-network-cidr-endpoint.md)
+ [创建用于验证访问的 Amazon Relational Database Service 终端节点](create-rds-endpoint.md)
+ [允许来自 Verified Access 端点的流量](configure-endpoint-security-group.md)
+ [修改 Verified Access 端点](modify-endpoint.md)
+ [修改 Verified Access 端点策略](modify-endpoint-policy.md)
+ [删除 Verified Access 端点](delete-endpoint.md)

## Verified Access 端点类型
<a name="endpoint-types"></a>

以下是可能的 Verified Access 端点类型：
+ **负载均衡器** – 将应用程序请求发送到负载均衡器以分发给您的应用程序。有关更多信息，请参阅 [创建负载均衡器端点](create-load-balancer-endpoint.md)。
+ **网络接口** – 使用指定的协议和端口将应用程序请求发送到网络接口。有关更多信息，请参阅 [创建网络接口端点](create-network-interface-endpoint.md)。
+ **网络 CIDR**-将应用程序请求发送到指定的 CIDR 块。有关更多信息，请参阅 [创建网络 CIDR 端点](create-network-cidr-endpoint.md)。
+ **亚马逊关系数据库服务 (RDS)** — 将应用程序请求发送到 RDS 实例、RDS 集群或 RDS 数据库代理。有关更多信息，请参阅 [创建亚马逊关系数据库 Service 终端节点](create-rds-endpoint.md)。

## 验证访问权限如何与共享网 VPCs 和子网配合使用
<a name="shared-vpc"></a>

以下是有关共享 VPC 子网的行为：
+ VPC 子网共享支持 Verified Access 端点。参与者可以在共享子网中创建 Verified Access 端点。
+ 创建了端点的参与者将是端点所有者，也是唯一被允许修改端点的一方。VPC 所有者将无权修改端点。
+ 无法在 AWS 本地区域中创建经过验证的访问端点，因此无法通过 Local Zones 进行共享。

有关更多信息，请参阅《Amazon VPC 用户指南》**中的[与其他账户共享 VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-sharing.html)。

# 为 Verified Access 创建负载均衡器端点
<a name="create-load-balancer-endpoint"></a>

使用以下过程为 Verified Access 创建负载均衡器端点。有关负载均衡器的更多信息，请参阅 [Elastic Load Balancing 用户指南](https://docs.aws.amazon.com/elasticloadbalancing/latest/userguide/)。

**要求**
+ 仅支持 IPv4 流量。
+ 只有通过 TCP 才能支持长寿命的 HTTPS WebSocket 连接，例如连接。
+ 负载均衡器必须是应用程序负载均衡器或网络负载均衡器，并且必须是内部负载均衡器。
+ 负载均衡器和子网必须属于同一虚拟私有云（VPC）。
+ HTTPS 负载均衡器可以使用自签名证书或公共 TLS 证书。使用密钥长度为 1024 或 2048 的 RSA 证书。
+ 在创建已验证访问终端节点之前，必须创建已验证访问权限组。有关更多信息，请参阅 [创建 Verified Access 组](create-verified-access-group.md#create-group)。
+ 您必须为应用程序提供域名。这是您的用户将用来访问您的应用程序的公共 DNS 名称。您还需要提供带有与此域名匹配的 CN 的公共 SSL 证书。您可以使用创建或导入证书 AWS Certificate Manager。

**使用控制台创建负载均衡器端点**

1. 打开位于 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 的 Amazon VPC 控制台。

1. 在导航窗格中，选择 **Verified Access 端点**。

1. 选择**创建 Verified Access 端点**。

1. （可选）在**名称标签**和**描述**中，输入端点的名称和描述。

1. 对于 “**已验证访问权限” 组**，选择 “已验证访问权限” 组。

1. 对于**端点详细信息**，执行以下操作：

   1. 对于 “**协议**”，选择一个协议。

   1. 对于 **Attachment type (连接类型)**，选择 **VPC**。

   1. 对于**端点类型**，选择**负载均衡器**。

   1. (HTTP/HTTPS) 在 “**端**口” 中，输入端口号。(TCP) 对于**端口范围**，输入端口范围并选择**添加端口**。

   1. 对于**负载均衡器 ARN**，请选择负载均衡器。

   1. 对于**子网**，选择子网。每个可用区您只能指定一个子网。

   1. 在**安全组**中，选择端点的安全组。这些安全组控制已验证访问终端节点的入站和出站流量。

   1. 在**端点域前缀**中，输入一个自定义标识符，该标识符将添加到 Verified Access 为端点生成的 DNS 名称之前。

1. (HTTP/HTTPS) 要**了解应用程序的详细信息**，请执行以下操作：

   1. 在**应用程序域**中，输入应用程序的 DNS 名称。

   1. 在**域证书 ARN** 下，选择公共 TLS 证书。

1. （可选）在**策略定义**中，输入端点的 Verified Access 策略。

1. （可选）若要添加标签，请选择**添加新标签**，然后输入该标签的键和值。

1. 选择**创建 Verified Access 端点**。

**使用创建已验证访问终端节点 AWS CLI**  
使用 [create-verified-access-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-verified-access-endpoint.html) 命令。

# 为 Verified Access 创建网络接口端点
<a name="create-network-interface-endpoint"></a>

使用以下过程创建网络接口端点。

**要求**
+ 仅支持 IPv4 流量。
+ 网络接口必须与安全组属于同一虚拟私有云（VPC）。
+ 我们使用网络接口上的专用 IP 转发流量。
+ 在创建已验证访问终端节点之前，必须创建已验证访问权限组。有关更多信息，请参阅 [创建 Verified Access 组](create-verified-access-group.md#create-group)。
+ 您必须为应用程序提供域名。这是您的用户将用来访问您的应用程序的公共 DNS 名称。您还需要提供带有与此域名匹配的 CN 的公共 SSL 证书。您可以使用创建或导入证书 AWS Certificate Manager。

**使用控制台创建网络接口终端节点**

1. 打开位于 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 的 Amazon VPC 控制台。

1. 在导航窗格中，选择 **Verified Access 端点**。

1. 选择**创建 Verified Access 端点**。

1. （可选）在**名称标签**和**描述**中，输入端点的名称和描述。

1. 对于 “**已验证访问权限” 组**，选择 “已验证访问权限” 组。

1. 对于**端点详细信息**，执行以下操作：

   1. 对于 “**协议**”，选择一个协议。

   1. 对于 **Attachment type (连接类型)**，选择 **VPC**。

   1. 对于**端点类型**，选择**网络接口**。

   1. (HTTP/HTTPS) 在 “**端**口” 中，输入端口号。(TCP) 对于**端口范围**，输入端口范围并选择**添加端口**。

   1. 对于**网络接口**，请选择一个网络接口。

   1. 在**安全组**中，选择端点的安全组。这些安全组控制已验证访问终端节点的入站和出站流量。

   1. 在**端点域前缀**中，输入一个自定义标识符，该标识符将添加到 Verified Access 为端点生成的 DNS 名称之前。

1. (HTTP/HTTPS) 要**了解应用程序的详细信息**，请执行以下操作：

   1. 在**应用程序域**中，输入应用程序的 DNS 名称。

   1. 在**域证书 ARN** 下，选择公共 TLS 证书。

1. （可选）在**策略定义**中，输入端点的 Verified Access 策略。

1. （可选）若要添加标签，请选择**添加新标签**，然后输入该标签的键和值。

1. 选择**创建 Verified Access 端点**。

**使用创建已验证访问终端节点 AWS CLI**  
使用 [create-verified-access-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-verified-access-endpoint.html) 命令。

# 为已验证的访问创建网络 CIDR 端点
<a name="create-network-cidr-endpoint"></a>

使用以下步骤创建网络 CIDR 端点。例如，您可以使用网络 CIDR 终端节点通过端口 22 (SSH) 访问特定子网中的 EC2 实例。

**要求**
+ 仅支持 TCP 协议。
+ Verified Access 为资源使用的 CIDR 范围内的每个 IP 地址提供 DNS 记录。如果您删除资源，则该资源的 IP 地址将不再使用，“已验证访问权限” 会删除相应的 DNS 记录。
+ 如果您指定自定义子域，Verified Access 会为终端节点子网中位于指定 CIDR 范围并在子域中使用的每个 IP 地址提供一个 DNS 记录，并为您提供其 DNS 服务器的 IP 地址。您可以为子域配置转发规则，使其指向已验证的访问权限 DNS 服务器。对域中记录发出的任何请求都由已验证的访问权限 DNS 服务器解析到所请求资源的 IP 地址。
+ 在创建已验证访问终端节点之前，必须创建已验证访问权限组。有关更多信息，请参阅 [创建 Verified Access 组](create-verified-access-group.md#create-group)。
+ 创建终端节点，然后使用连接到应用程序[连接客户端](connectivity-client.md)。

**使用控制台创建网络 CIDR 端点**

1. 打开位于 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 的 Amazon VPC 控制台。

1. 在导航窗格中，选择 **Verified Access 端点**。

1. 选择**创建 Verified Access 端点**。

1. （可选）在**名称标签**和**描述**中，输入端点的名称和描述。

1. 在 **Verified Access 组**中，为端点选择一个 Verified Access 组。

1. 对于**端点详细信息**，执行以下操作：

   1. 对于**协议**，选择 **TCP**。

   1. 对于 **Attachment type (连接类型)**，选择 **VPC**。

   1. 对于**端点类型**，请选择**网络 CIDR**。

   1. 对于**端口范围**，输入端口范围，然后选择**添加端口**。

   1. 对于**子网**，选择子网。

   1. 在**安全组**中，选择端点的安全组。这些安全组控制已验证访问终端节点的入站和出站流量。

   1. （可选）在**终端节点域前缀**中，输入一个自定义标识符，该标识符将添加到已验证访问权限为终端节点生成的 DNS 名称之前。

1. （可选）在**策略定义**中，输入端点的 Verified Access 策略。

1. （可选）若要添加标签，请选择**添加新标签**，然后输入该标签的键和值。

1. 选择**创建 Verified Access 端点**。

**使用创建已验证访问终端节点 AWS CLI**  
使用 [create-verified-access-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-verified-access-endpoint.html) 命令。

# 创建用于验证访问的 Amazon Relational Database Service 终端节点
<a name="create-rds-endpoint"></a>

使用以下过程创建亚马逊关系数据库服务 (RDS) 终端节点。

**要求**
+ 仅支持 TCP 协议。
+ 创建 RDS 实例、RDS 集群或 RDS 数据库代理。
+ 在创建已验证访问终端节点之前，必须创建已验证访问权限组。有关更多信息，请参阅 [创建 Verified Access 组](create-verified-access-group.md#create-group)。
+ 创建终端节点，然后使用连接到应用程序[连接客户端](connectivity-client.md)。

**使用控制台创建 Amazon Relational Database Service 终端节点**

1. 打开位于 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 的 Amazon VPC 控制台。

1. 在导航窗格中，选择 **Verified Access 端点**。

1. 选择**创建 Verified Access 端点**。

1. （可选）在**名称标签**和**描述**中，输入端点的名称和描述。

1. 在 **Verified Access 组**中，为端点选择一个 Verified Access 组。

1. 对于**端点详细信息**，执行以下操作：

   1. 对于**协议**，选择 **TCP**。

   1. 对于 **Attachment type (连接类型)**，选择 **VPC**。

   1. 对于**终端节点类型**，请选择**亚马逊关系数据库服务 (RDS)** Amazon Database Service。

   1. 对于 **RDS 目标类型**，请执行以下任一操作：
      + 选择 **RDS 实例**，然后从 RDS 实例中选择一个 **RDS 实例**。
      + 选择 **RDS 集群**，然后从 RDS 集群中选择一个 **RDS 集群**。
      + 选择 **RDS 数据库代理**，然后从 RDS 数据库代理中选择 **RDS 数据库代理**。

   1. 对于 **RDS 终端节**点，请选择与您在上一步中选择的 RDS 资源相关的 RDS 终端节点。

   1. 对于**端口**，输入端口号。

   1. 对于**子网**，选择子网。每个可用区您只能指定一个子网。

   1. 在**安全组**中，选择端点的安全组。这些安全组控制已验证访问终端节点的入站和出站流量。

   1. （可选）在**终端节点域前缀**中，输入一个自定义标识符，该标识符将添加到已验证访问权限为终端节点生成的 DNS 名称之前。

1. （可选）在**策略定义**中，输入端点的 Verified Access 策略。

1. （可选）若要添加标签，请选择**添加新标签**，然后输入该标签的键和值。

1. 选择**创建 Verified Access 端点**。

**使用创建已验证访问终端节点 AWS CLI**  
使用 [create-verified-access-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-verified-access-endpoint.html) 命令。

# 允许来自 Verified Access 端点的流量
<a name="configure-endpoint-security-group"></a>

您可以为应用程序配置安全组，以便它们允许来自您的 Verified Access 端点的流量。为此，您可以添加一条入站规则，将端点的安全组指定为源。我们建议您删除所有其他入站规则，以便您的应用程序仅接收来自您的 Verified Access 端点的流量。

我们建议您保留现有的出站规则。

**使用控制台更新应用程序的安全组规则**

1. 打开位于 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 的 Amazon VPC 控制台。

1. 在导航窗格中，选择 **Verified Access 端点**。

1. 选择已验证访问终端节点，在**详细信息**选项卡 IDs上找到**安全组**，然后复制终端节点的安全组的 ID。

1. 在导航窗格中，选择**安全组**。

1. 选中与目标关联的安全组的复选框，然后选择**操作**、**编辑入站规则**。

1. 要添加允许来自您的 Verified Access 端点的流量的安全组规则，请执行以下操作：

   1. 选择**添加规则**。

   1. 对于**类型**，选择**所有流量**或要允许的特定流量。

   1. 对于**源**，选择**自定义**，然后粘帖端点的安全组的 ID。

1. （可选）如需要求流量仅来自您的 Verified Access 端点，请删除所有其他入站安全组规则。

1. 选择**保存规则**。

**要更新应用程序的安全组规则，请使用 AWS CLI**  
使用[describe-verified-access-endpoints](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-verified-access-endpoints.html)命令获取安全组的 ID，然后使用该[authorize-security-group-ingress](https://docs.aws.amazon.com/cli/latest/reference/ec2/authorize-security-group-ingress.html)命令添加入站规则。

# 修改 Verified Access 端点
<a name="modify-endpoint"></a>

使用以下过程修改 Verified Access 端点。

**使用控制台修改已验证访问终端节点**

1. 打开位于 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 的 Amazon VPC 控制台。

1. 在导航窗格中，选择 **Verified Access 端点**。

1. 选择端点。

1. 选择**操作**、**修改 Verified Access 端点**。

1. 根据需要修改端点详细信息。

1. 选择**修改 Verified Access 端点**。

**使用修改已验证访问终端节点 AWS CLI**  
使用 [modify-verified-access-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-verified-access-endpoint.html) 命令。

# 修改 Verified Access 端点策略
<a name="modify-endpoint-policy"></a>

使用以下过程修改 Verified Access 端点策略。需要等待几分钟，更改才会生效。

**使用控制台修改已验证访问权限终端节点策略**

1. 打开位于 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 的 Amazon VPC 控制台。

1. 在导航窗格中，选择 **Verified Access 端点**。

1. 选择端点。

1. 选择**操作**、**修改 Verified Access 端点策略**。

1. （可选）根据需要打开或关闭**启用策略**。

1. （可选）对于**策略**，输入要应用于端点的 Verified Access 策略。

1. 选择**修改 Verified Access 端点策略**。

**要修改已验证的访问权限终端节点策略，请使用 AWS CLI**  
使用 [modify-verified-access-endpoint-policy](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-verified-access-endpoint-policy.html) 命令。

# 删除 Verified Access 端点
<a name="delete-endpoint"></a>

用完 Verified Access 端点后可以将其删除。

**使用控制台删除已验证访问终端节点**

1. 打开位于 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 的 Amazon VPC 控制台。

1. 在导航窗格中，选择 **Verified Access 端点**。

1. 选择端点。

1. 选择**操作**、**删除 Verified Access 端点**。

1. 提示进行确认时，输入 **delete**，然后选择**删除**。

**使用删除已验证访问终端节点 AWS CLI**  
使用 [delete-verified-access-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-verified-access-endpoint.html) 命令。