本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# VPC Lattice 中的服务
VPC Lattice 中的服务是一个可独立部署的软件单元,用于交付特定的任务或函数。服务可以在实例、容器上运行,也可以在账户或虚拟私有云(VPC)中作为无服务器函数运行。服务有一个监听器,它使用称为侦听器规则的规则,您可以配置这些规则来帮助将流量路由到目标。支持的目标类型包括 EC2 实例、IP 地址、Lambda 函数、应用程序负载均衡器、Amazon ECS 任务和 Kubernetes Pod。有关更多信息,请参阅 [VPC Lattice 中的目标组](target-groups.md)。您可以将服务与多个服务网络关联。下图显示 VPC Lattice 中典型服务的关键组件。
![\[具有侦听器、侦听器规则和两个目标组的服务。\]](http://docs.aws.amazon.com/zh_cn/vpc-lattice/latest/ug/images/service.png)
您可以通过为服务提供名称和描述来创建服务。但是,要控制和监控您的服务流量,务必包含访问设置和监控详细信息。要将流量从服务发送到目标,必须设置侦听器并配置规则。要让流量从服务网络流向服务,必须将您的服务与服务网络关联。
对于目标连接,存在空闲超时和总体连接超时。空闲连接超时为 1 分钟,之后会关闭连接。最长持续时间为 10 分钟,之后我们不允许连接上有新的流,同时开始关闭现有流的过程。
**Topics**
+ [步骤 1:创建 VPC Lattice 服务](#create-service)
+ [步骤 2:定义路由](#define-routing)
+ [步骤 3:创建网络关联](#associate-to-networks)
+ [步骤 4:审核并创建](#review-and-create)
+ [管理关联](service-associations.md)
+ [编辑访问设置](service-access.md)
+ [编辑监控详细信息](service-monitoring.md)
+ [管理标签](service-tags.md)
+ [配置自定义域名](service-custom-domain-name.md)
+ [BYOC](service-byoc.md)
+ [删除服务](delete-service.md)
## 步骤 1:创建 VPC Lattice 服务
创建具有访问设置和监控详细信息的基本 VPC Lattice 服务。但是,在定义路由配置并将其与服务网络关联之前,服务不会完全正常运行。
**要使用控制台创建基本服务**
1. 打开位于 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 的 Amazon VPC 控制台。
1. 在导航窗格中的 **VPC Lattice** 下,选择**服务**。
1. 选择 **Create service**。
1. 对于**标识符**,执行以下操作:
1. 输入服务的名称。名称必须介于 3-40 个字符之间,并使用小写字母、数字和连字符。必须以字母或数字开头和结尾。不要使用双连字符。
1. (可选)输入服务网络的描述。您可以在创建过程中或创建后设置或更改描述。描述最多可包含 256 个字符。
1. 要为您的服务指定自定义域名,请选择**指定自定义域名配置**并输入自定义域名。
对于 HTTPS 侦听器,您可以选择 VPC 莱迪思用于执行 TLS 终止的证书。如果您现在不选择证书,则可以在为服务创建 HTTPS 侦听器时选择该证书。
对于 TCP 监听器,您必须为服务指定自定义域名。如果您指定证书,则不使用该证书。相反,您可以在应用程序中执行 TLS 终止。
1. 对于**服务访问权限**,如果您希望与服务网络 VPCs 关联的客户端访问您的服务,请选择**无**。要应用[验证策略](auth-policies.md)来控制对服务的访问,请选择 **AWS IAM**。要将资源策略应用于服务,请对**验证策略**执行以下操作之一:
+ 在输入字段中输入策略。对于可以复制和粘贴的示例策略,请选择**策略示例**。
+ 选择**应用策略模板**,然后选择**允许已验证和未验证访问**模板。此模板允许来自其他账户的客户端通过签署请求(表示已验证),或以匿名方式(表示未验证)访问服务。
+ 选择**应用策略模板**,然后选择**允许仅限已验证访问**模板。此模板允许来自其他账户的客户端通过签署请求(表示已验证)访问服务。
1. (可选)要启用[访问日志](monitoring-access-logs.md),请开启**访问日志**切换开关,并按如下方式指定访问日志的目标:
+ 选择**CloudWatch 日志组**,然后选择一个 CloudWatch 日志组。要创建日志组,请选择**在中创建日志组 CloudWatch**。
+ 选择 **S3 存储桶**并输入 S3 存储桶路径,包括任何前缀。要搜索 S3 存储桶,请选择**浏览 S3**。
+ 选择 **Kinesis Data Firehose 传输流**,然后选择一个传输流。要创建传输流,请选择**在 Kinesis 中创建传输流**。
1. (可选)要与其他账户[共享您的服务](sharing.md),请从 AWS RAM 资源共享中选择一个**资源共享**。要创建资源共享,请选择**在 RAM 控制台中创建资源共享**。
1. 要查看配置并创建服务,请选择**跳转到查看和创建**。否则,请选择**下一步**,定义服务的路由配置。
## 步骤 2:定义路由
使用侦听器定义路由配置,以便服务可以将流量发送到您指定的目标。
**先决条件**
在添加侦听器之前,必须先创建 VPC Lattice 目标组。有关更多信息,请参阅 [创建 VPC Lattice 目标组](create-target-group.md)。
**要使用控制台为服务定义路由**
1. 选择**添加侦听器**。
1. 对于**侦听器名称**,您可以提供自定义侦听器名称,也可以使用侦听器的协议和端口作为侦听器名称。您指定的自定义名称最多可包含 63 个字符,且对账户中的每项服务必须是唯一的。有效字符:a-z、0-9 和连字符(-)。不能将连字符用作第一个或最后一个字符,也不能紧跟在另一个连字符之后。创建侦听器后,不能更改其名称。
1. 选择协议,然后输入端口号。
1. 对于**默认操作**,选择要接收流量的 VPC Lattice 目标组,然后选择要分配给该目标组的权重。您可以选择为默认操作添加另一个目标组。选择**添加操作**,然后选择其他目标组并指定其权重。
1. (可选)要添加其他规则,请选择**添加规则**,然后输入规则的名称、优先级、条件和操作。
您可以为每条规则指定一个 1 到 100 之间的优先级编号。侦听器不能具有优先级相同的多个规则。规则是按优先级顺序 (从最低值到最高值) 计算的。最后评估默认规则。
对于**条件**,输入路径匹配条件的路径模式。每个字符串的最大长度为 200 个字符。比较不区分大小写。
1. (可选)要添加标签,请展开**侦听器标签**,选择**添加新标签**,然后输入标签键和标签值。
1. 要查看配置并创建服务,请选择**跳转到查看和创建**。否则,请选择**下一步**,将服务与服务网络关联。
## 步骤 3:创建网络关联
将服务与服务网络关联,以便客户端可以与之通信。
**要使用控制台将服务与服务网络关联**
1. 对于 **VPC Lattice 服务网络**,请选择服务网络。要创建服务网络,请选择**创建 VPC Lattice 网络**。您可以将您的服务与多个服务网络关联。
1. (可选)要添加标签,请展开**服务网络关联标签**,选择**添加新标签**,然后输入标签键和标签值。
1. 选择**下一步**。
## 步骤 4:审核并创建
**要使用控制台查看配置并创建服务**
1. 查看服务的配置。
1. 如果需要修改服务配置的任何部分,请选择**编辑**。
1. 查看或编辑配置后,选择**创建 VPC Lattice 服务**。
1. 如果为服务指定了自定义域名,则必须在创建服务后配置 DNS 路由。有关更多信息,请参阅 [为您的 VPC 莱迪思服务配置自定义域名](service-custom-domain-name.md)。
# 管理 VPC Lattice 服务的关联
将服务与服务网络关联后,客户端(与服务网络关联的 VPC 中的资源)就可以向该服务发出请求。您可以关联您账户中的服务,或关联不同账户与您共享的服务。创建服务时,此步骤是可选的。但是,在创建后,只有将服务与服务网络关联,该服务才能与其他服务通信。如果服务所有者的账户有必要的访问权限,就可以将自己的服务与服务网络关联。有关更多信息,请参阅 [VPC Lattice 的工作原理](how-it-works.md)。
**要使用控制台管理服务网络关联**
1. 打开位于 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 的 Amazon VPC 控制台。
1. 在导航窗格中的 **VPC Lattice** 下,选择**服务**。
1. 选择服务名称以打开其详细信息页面。
1. 选择**服务网络关联**选项卡。
1. 要创建关联,请执行以下操作:
1. 选择**创建关联**。
1. 从 **VPC Lattice 服务网络**中选择一个服务网络。要创建服务网络,请选择**创建 VPC Lattice 网络**。
1. (可选)要添加标签,请展开**服务关联标签**,选择**添加新标签**,然后输入标签键和标签值。
1. 选择**保存更改**。
1. 要删除关联,请选中关联的复选框,然后依次选择**操作**和**删除网络关联**。提示进行确认时,输入 **confirm**,然后选择**删除**。
**要使用创建服务网络关联 AWS CLI**
使用 [create-service-network-service-association](https://docs.aws.amazon.com/cli/latest/reference/vpc-lattice/create-service-network-service-association.html) 命令。
**要删除服务网络关联,请使用 AWS CLI**
使用 [delete-service-network-service-association](https://docs.aws.amazon.com/cli/latest/reference/vpc-lattice/delete-service-network-service-association.html) 命令。
# 编辑 VPC Lattice 服务的访问设置
访问设置使您能够配置和管理客户端对服务的访问。访问设置包括*验证类型*和*验证策略*。验证策略可帮助您验证和授权流向 VPC Lattice 服务的流量。
您可以在服务网络级别、服务级别,或同时在两个级别应用验证策略。在服务级别,服务所有者可以应用细粒度控制,这种控制可能更具限制性。通常,验证策略由网络所有者或云管理员应用。这些策略可以实现粗粒度授权,例如,允许来自组织内部已验证的调用,或者允许匹配特定条件的匿名 GET 请求。有关更多信息,请参阅 [使用身份验证策略控制对VPC莱迪思服务的访问](auth-policies.md)。
**要使用控制台添加或更新访问策略**
1. 打开位于 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 的 Amazon VPC 控制台。
1. 在导航窗格中的 **VPC Lattice** 下,选择**服务**。
1. 选择服务名称以打开其详细信息页面。
1. 选择**访问**选项卡以查看当前的访问设置。
1. 要更新访问设置,请选择**编辑访问设置**。
1. 如果您希望关联服务网络 VPCs 中的客户端访问您的服务,请为**身份验证类型**选择**无**。
1. 要应用资源策略来控制对服务的访问,则对于**验证类型**,选择 **AWS IAM**,并对**验证策略**执行以下操作之一:
+ 在输入字段中输入策略。对于可以复制和粘贴的示例策略,请选择**策略示例**。
+ 选择**应用策略模板**,然后选择**允许已验证和未验证访问**模板。此模板允许来自其他账户的客户端通过签署请求(表示已验证),或以匿名方式(表示未验证)访问服务。
+ 选择**应用策略模板**,然后选择**允许仅限已验证访问**模板。此模板允许来自其他账户的客户端通过签署请求(表示已验证)访问服务。
1. 选择**保存更改**。
**要添加或更新访问策略,请使用 AWS CLI**
使用 [put-auth-policy](https://docs.aws.amazon.com/cli/latest/reference/vpc-lattice/put-auth-policy.html) 命令。
# 编辑 VPC Lattice 服务的监控详细信息
VPC Lattice 会为每个请求和响应生成指标和日志,从而提高了监控和排查应用程序问题的效率。
您可以启用访问日志,并为日志指定目标资源。VPC Lattice 可以将日志发送到以下资源: CloudWatch 日志组、Firehose 传输流和 S3 存储桶。
**要使用控制台启用访问日志或更新日志目标**
1. 打开位于 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 的 Amazon VPC 控制台。
1. 在导航窗格中的 **VPC Lattice** 下,选择**服务**。
1. 选择服务名称以打开其详细信息页面。
1. 选择**监控**选项卡,然后选择**日志**。检查**访问日志**,查看访问日志是否已启用。
1. 要启用或禁用访问日志,请选择**编辑访问日志**,然后打开或关闭**访问日志**切换开关。
1. 在启用访问日志时,必须选择传输目标的类型,然后创建或选择访问日志的目标。您还可以随时更改传输目标。例如:
+ 选择**CloudWatch 日志组**,然后选择一个 CloudWatch 日志组。要创建日志组,请选择**在中创建日志组 CloudWatch**。
+ 选择 **S3 存储桶**并输入 S3 存储桶路径,包括任何前缀。要搜索 S3 存储桶,请选择**浏览 S3**。
+ 选择 **Kinesis Data Firehose 传输流**,然后选择一个传输流。要创建传输流,请选择**在 Kinesis 中创建传输流**。
1. 选择**保存更改**。
**要启用访问日志,请使用 AWS CLI**
使用 [create-access-log-subscription](https://docs.aws.amazon.com/cli/latest/reference/vpc-lattice/create-access-log-subscription.html) 命令。
**要更新日志目标,请使用 AWS CLI**
使用 [update-access-log-subscription](https://docs.aws.amazon.com/cli/latest/reference/vpc-lattice/update-access-log-subscription.html) 命令。
**要禁用访问日志,请使用 AWS CLI**
使用 [delete-access-log-subscription](https://docs.aws.amazon.com/cli/latest/reference/vpc-lattice/delete-access-log-subscription.html) 命令。
# 管理 VPC Lattice 服务的标签
标签有助于您以不同的方式对服务进行分类,例如,按用途、所有者或环境。
您可以为每项服务添加多个标签。每项服务的标签密钥必须是唯一的。如果您添加的标签的密钥已与服务关联,则它会更新该标签的值。可以使用字母、空格、数字(UTF-8)等字符,以及以下特殊字符:\$1 - =。\$1 : / @。请不要使用前导空格或尾随空格。标签值区分大小写。
**要使用控制台添加或删除标签**
1. 打开位于 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 的 Amazon VPC 控制台。
1. 在导航窗格中的 **VPC Lattice** 下,选择**服务**。
1. 选择服务名称以打开其详细信息页面。
1. 选择**标签**选项卡。
1. 要添加标签,请选择**添加标签**,然后输入标签键和标签值。要添加其他标签,请选择**添加新标签**。添加完标签后,选择 **Save changes**(保存更改)。
1. 要删除标签,请选择标签的复选框,然后选择**删除**。提示进行确认时,输入 **confirm**,然后选择**删除**。
**要使用添加或删除标签 AWS CLI**
使用 [tag-resource](https://docs.aws.amazon.com/cli/latest/reference/vpc-lattice/tag-resource.html) 和 [untag-resource](https://docs.aws.amazon.com/cli/latest/reference/vpc-lattice/untag-resource.html) 命令。
# 为您的 VPC 莱迪思服务配置自定义域名
当您创建新服务时,VPC Lattice 会使用以下语法为该服务生成一个唯一的完全限定域名 (FQDN)。
```
service_name-service_id.partition_id.vpc-lattice-svcs.region.on.aws
```
但是,VPC Lattice提供的域名并不容易让您的用户记住。您可以向用户提供自定义域名更简单、更直观 URLs 。如果您希望为服务使用自定义域名,例如 `www.parking.example.com` 而不是 VPC Lattice 生成的 DNS 名称,可以在创建 VPC Lattice 服务时进行配置。当客户端使用您的自定义域名发出请求时,DNS 服务器会将其解析为 VPC Lattice 生成的域名。
**先决条件**
+ 您的服务必须有一个注册域名。如果您还没有注册域名,可以通过 Amazon Route 53,或任何其他商业注册商来注册一个域名。
+ 要接收 HTTPS 请求,必须在 AWS Certificate Manager中提供自己的证书。VPC Lattice 不支持默认证书作为后备。因此,如果您不提供与您的自定义域名相对应的 SSL/TLS 证书,则与您的自定义域名的所有 HTTPS 连接都将失败。有关更多信息,请参阅 [VPC Lattice 自带证书(BYOC)](service-byoc.md)。
**限制和注意事项**
+ 一项服务不能有多个自定义域名。
+ 创建服务后,您无法修改自定义域名。
+ 自定义域名对于服务网络必须是唯一的。这意味着无法使用同一服务网络中已存在的自定义域名(针对其他服务)创建服务。
以下过程说明如何为您的服务配置自定义域名。
------
#### [ AWS 管理控制台 ]
**为您的服务配置自定义域名**
1. 打开位于 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 的 Amazon VPC 控制台。
1. 在导航窗格中的 **VPC Lattice** 下,选择**服务**。
1. 选择**创建服务**。您将导航到**步骤 1:创建服务**。
1. 在**自定义域配置**部分,选择**指定自定义域配置**。
1. 输入您的自定义域名。
1. 要处理 HTTPS 请求,请在自定义 SSL/TLS 证书中选择与您的自定义域名相匹配的** SSL/TLS 证书**。如果您还没有证书,或者现在不想添加证书,可以在创建 HTTPS 侦听器时添加证书。但是,如果没有证书,您的自定义域名将无法提供 HTTPS 请求。有关更多信息,请参阅 [添加 HTTPS 侦听器](https-listeners.md#add-https-listener)。
1. 添加用于创建服务的所有其他信息后,选择**创建**。
------
#### [ AWS CLI ]
**为您的服务配置自定义域名**
使用 [create-service](https://docs.aws.amazon.com/cli/latest/reference/vpc-lattice/create-service.html) 命令。
```
aws vpc-lattice create-service --name service_name --custom-domain-name your_custom_domain_name --type https --certificate-arn arn:aws:acm:us-east-1:123456789012:certificate/12345678-1234-1234-1234-123456789012
```
在上面的命令中,对于 `--name`,输入服务的名称。对于 `--custom-domain-name`,输入服务的域名,例如 `parking.example.com`。对于 `--certificate-arn`,在 ACM 中输入证书的 ARN。证书 ARN 可在您的 AWS Certificate Manager账户中找到。
------
## 将自定义域名与您的服务关联
首先,如果尚未注册域名,请注册您的自定义域名。Internet 上的域名由 Internet 名称和数字地址分配机构 (ICANN) 管理。您需要通过*域名注册商* (ICANN 认可的管理域名注册的组织) 注册域名。您的注册商的网站上会提供关于注册域名的详细说明和定价信息。有关更多信息,请参阅以下资源:
+ 要使用 Amazon Route 53 注册域名,请参阅 *Amazon Route 53 开发人员指南*中的[使用 Route 53 注册域名](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/registrar.html)。
+ 有关获得认可的注册商的列表,请参阅[获得认可的注册商目录](http://www.internic.net/regist.html)。
接下来,使用您的 DNS 服务(例如域名注册商)创建记录,将查询路由到您的服务。有关更多信息,请参阅您的 DNS 服务的文档。或者,您可以使用 Route 53 作为您的 DNS 服务。
如果您使用的是 Route 53,则可以使用别名记录或 CNAME 记录将查询路由到您的服务。我们建议您使用别名记录,因为您可以在 DNS 命名空间的顶级节点(也称为区域顶点)创建别名记录。
如果您使用的是 Route 53,则必须先创建一个*托管区*,其中包含有关如何在互联网上为域路由流量的信息。创建私有或公有托管区域后,请创建一条记录,以便将您的自定义域名(例如`parking.example.com`)映射到 VPC Lattice 自动生成的域名。`my-service-02031c045478f6ddf1.7d67968.vpc-lattice-svcs.us-west-2.on.aws`如果没有此映射,您的自定义域名将无法在 VPC Lattice 中使用。
以下过程说明如何使用 Route 53 创建私有或公共托管区域
------
#### [ AWS 管理控制台 ]
要创建别名记录以使用 Route 53 将查询路由到您的服务,请参阅将[流量路由到 Amazon VPC Lattice 服务域终端节点](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/routing-to-vpc-lattice-service.html)。
使用莱迪思为服务生成的VPC域名,`my-service-02031c045478f6ddf1.7d67968.vpc-lattice-svcs.us-west-2.on.aws`例如作为**值**。您可以在VPC Lattice控制台的服务页面上找到这个自动生成的域名。
------
#### [ AWS CLI ]
**在您的托管区域中创建别名记录**
1. 获取莱迪思为您的服务生成的 VPC 域名(例如`my-service-02031c045478f6ddf1.7d67968.vpc-lattice-svcs.us-west-2.on.aws`)。
1. 要设置别名,请使用以下命令。
```
aws route53 change-resource-record-sets --hosted-zone-id your-hosted-zone-ID --change-batch file://~/Desktop/change-set.json
```
对于 `change-set.json` 文件,使用以下 JSON 示例中的内容创建一个 JSON 文件,然后将其保存在本地计算机上。将*file://\$1/Desktop/change-set.json*上面的命令替换为保存在本地计算机中的 JSON 文件的路径。注意,以下 JSON 中的“类型”可以是 A 或 AAAA 记录类型。
```
{
"Comment": "my-custom-domain-name.com alias",
"Changes": [
{
"Action": "CREATE",
"ResourceRecordSet": {
"Name": "my-custom-domain-name.com",
"Type": "alias-record-type",
"AliasTarget": {
"HostedZoneId": "your-hosted-zone-ID",
"DNSName": "lattice-generated-domain-name",
"EvaluateTargetHealth": true
}
}
}
]
}
```
------
# VPC Lattice 自带证书(BYOC)
要处理 HTTPS 请求,在设置自定义域名之前,必须准备好自己的 SSL/TLS 证书 AWS Certificate Manager (ACM)。这些证书必须具有与服务的自定义域名匹配的使用者备用名称(SAN),或公用名称(CN)。如果 SAN 存在,我们仅检查 SAN 列表中的匹配项。如果 SAN 不存在,则会检查 CN 中的匹配项。
VPC Lattice 使用服务器名称指示(SNI)提供 HTTPS 请求。DNS 会根据自定义域名和与该域名匹配的证书,将 HTTPS 请求路由到您的 VPC Lattice 服务。要在 ACM 中为域名申请 SSL/TLS 证书或将证书导入 ACM,请参阅*AWS Certificate Manager 用户*指南中的[颁发和管理证书](https://docs.aws.amazon.com/acm/latest/userguide/gs.html)以及[导入证书](https://docs.aws.amazon.com/acm/latest/userguide/import-certificate.html)。如果无法在 ACM 中请求或导入自己的证书,请使用 VPC Lattice 生成的域名和证书。
VPC Lattice 每项服务仅接受一个自定义证书。但是,您可以将自定义证书用于多个自定义域。这意味着您可以为使用自定义域名创建的所有 VPC Lattice 服务使用相同的证书。
要使用 ACM 控制台查看证书,请打开**证书**,然后选择证书 ID。您会在**关联资源**下看到与该证书关联的 VPC Lattice 服务。
**限制和注意事项**
+ VPC Lattice 允许在关联证书的使用者备用名称(SAN),或公用名称(CN)中进行深一级的通配符匹配。例如,如果您使用自定义域名 `parking.example.com` 创建服务,并将自己的证书与 SAN `*.example.com` 关联。当 `parking.example.com` 收到请求时,VPC Lattice 会将 SAN 与具有 apex 域 `example.com` 的任何域名匹配。但是,如果您拥有自定义域 `parking.different.example.com`,并且您的证书具有 SAN `*.example.com`,则请求将失败。
+ VPC Lattice 支持一级通配符域匹配。这意味着通配符只能用作一级子域,并且只能保护一个子域级别。例如,如果证书的 SAN 是 `*.example.com`,则不支持 `parking.*.example.com`。
+ VPC Lattice 支持每个域名一个通配符。这意味着 `*.*.example.com` 是无效的。有关更多信息,请参阅《AWS Certificate Manager 用户指南》**中的[请求公有证书](https://docs.aws.amazon.com/acm/latest/userguide/gs-acm-request-public.html#request-public-console)。
+ VPC Lattice 仅支持使用 2048 位 RSA 密钥的证书。
+ ACM 中的 SSL/TLS 证书必须与您关联的 VPC Lattice 服务位于同一区域。
## 保护证书私有密钥
当您使用 ACM 请求 SSL/TLS 证书时,ACM 会生成一个 public/private key pair。导入证书时,将生成密钥对。公有密钥将成为证书的一部分。为了安全地存储私钥,ACM 使用 AWS KMS别名 a **w** s/acm 创建了另一个名为 KMS 密钥的密钥。 AWS KMS 使用此密钥来加密证书的私钥。有关更多信息,请参阅《AWS Certificate Manager 用户指南》**中的 [AWS Certificate Manager中的数据保护](https://docs.aws.amazon.com/acm/latest/userguide/data-protection.html)。
VPC AWS Lattice使用TLS连接管理器(一项只能访问的服务)来保护和使用您的证书的私钥。 AWS 服务当您使用 ACM 证书创建 VPC 莱迪思服务时,VPC Lattice 会将您的证书与 AWS TLS 连接管理器相关联。为此,我们会 AWS KMS 根据您的 AWS 托管密钥创建授权。此授权允许 TLS 连接管理器 AWS KMS 用于解密证书的私钥。TLS Connection Manager 使用证书和解密(明文)私有密钥,与 VPC Lattice 服务的客户端建立安全连接(SSL/TLS 会话)。当证书与 VPC Lattice 服务取消关联时,该授权就会失效。有关更多信息,请参阅《AWS Key Management Service 开发人员指南》**中的[授权](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html)。
有关更多信息,请参阅 [静态加密](data-protection.md#encryption-rest)。
# 删除 VPC 莱迪思服务
要删除 VPC Lattice 服务,必须先删除该服务与任何服务网络的所有关联。如果删除服务,则与该服务相关的所有资源也会被删除,例如资源策略、验证策略、侦听器、侦听器规则和访问日志订阅。
**要使用控制台删除服务**
1. 打开位于 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 的 Amazon VPC 控制台。
1. 在导航窗格中的 **VPC Lattice** 下,选择**服务**。
1. 在**服务**页面上,选择要删除的服务,然后依次选择**操作**和**删除服务**。
1. 当系统提示进行确认时,选择 **Delete(删除)**。
**要删除服务,请使用 AWS CLI**
使用 [delete-service](https://docs.aws.amazon.com/cli/latest/reference/vpc-lattice/delete-service.html) 命令。