本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 配置端点服务
<a name="configure-endpoint-service"></a>

创建端点服务后，您可以更新其配置。

**Topics**
+ [管理权限](#add-remove-permissions)
+ [接受或拒绝连接请求](#accept-reject-connection-requests)
+ [管理负载均衡器](#associate-load-balancer)
+ [关联私有 DNS 名称](#associate-private-dns-name)
+ [修改支持的区域](#manage-supported-regions)
+ [修改支持的 IP 地址类型](#supported-ip-address-types)
+ [管理标签](#add-remove-endpoint-service-tags)

## 管理权限
<a name="add-remove-permissions"></a>

权限和接受设置的组合可帮助您控制哪些服务使用者（AWS 委托人）可以访问您的终端节点服务。例如，可以为您信任的特定主体授予权限，并自动接受所有连接请求；您还可以为范围更广的主体组授予权限，并手动接受您信任的特定连接请求。

默认情况下，您的端点服务对服务使用者不可用。您必须添加权限，允许特定 AWS 委托人创建接口 VPC 终端节点以连接到您的终端节点服务。要为 AWS 委托人添加权限，您需要其亚马逊资源名称 (ARN)。以下列表包括支持的 AWS 委托 ARNs 人的示例。ARNs 对于 AWS 校长

AWS 账户 （包括账户中的所有委托人）  
arn: aws: iam::: root *account\$1id*

 角色  
 arn: aws: iam::: role/ *account\$1id* *role\$1name*

用户  
arn: aws: iam::: user/ *account\$1id* *user\$1name*

所有校长合而为一 AWS 账户  
\$1

**注意事项**
+ 如果您授予所有人访问端点服务的权限，并将端点服务配置为接受所有请求，则即使您的负载均衡器没有公有 IP 地址，它也将是公有的。
+ 如果您移除权限，则不会影响端点与服务之间先前已接受的现有连接。

**使用控制台管理端点服务的权限**

1. 打开位于 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 的 Amazon VPC 控制台。

1. 在导航窗格中，选择 **Endpoint services**（端点服务）。

1. 选择端点服务，然后选择 **Allow principals**（允许主体）选项卡。

1. 要添加权限，请选择 **Allow principals**（允许主体）。对于 **Principals to add**（要添加的主体），输入主体的 ARN。要添加另一个委托人，请选择 **Add principal（添加委托人）**。添加主体后，请选择 **Allow principals**（允许主体）。

1. 要删除权限，请选择该主体，然后依次选择 **Actions**（操作）、**Delete**（删除）。提示进行确认时，输入 **delete**，然后选择**删除**。

**使用命令行为端点服务添加权限**
+ [modify-vpc-endpoint-service-权限](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpc-endpoint-service-permissions.html) ()AWS CLI
+ [Edit-EC2EndpointServicePermission](https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2EndpointServicePermission.html)（适用于 Windows 的工具 PowerShell）

## 接受或拒绝连接请求
<a name="accept-reject-connection-requests"></a>

权限和接受设置的组合可帮助您控制哪些服务使用者（AWS 委托人）可以访问您的终端节点服务。例如，可以为您信任的特定主体授予权限，并自动接受所有连接请求；您还可以为范围更广的主体组授予权限，并手动接受您信任的特定连接请求。

您可以将端点服务配置为自动接受连接请求。否则，您必须手动接受或拒绝请求。如果您不接受连接请求，服务使用者将无法访问端点服务。

如果您授予所有人访问端点服务的权限，并将端点服务配置为接受所有请求，则即使您的负载均衡器没有公有 IP 地址，它也将是公有的。

当连接请求被接受或拒绝时，您会收到通知。有关更多信息，请参阅 [接收端点服务事件的提醒](create-notification-endpoint-service.md)。

**使用控制台修改接受设置**

1. 打开位于 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 的 Amazon VPC 控制台。

1. 在导航窗格中，选择 **Endpoint services**（端点服务）。

1. 选择端点服务。

1. 选择 **Actions**、**Modify endpoint acceptance setting**。

1. 选择或清除 **Acceptance required**（需要接受）。

1. 选择 **Save changes**（保存更改）

**使用命令行修改接受设置**
+ [modify-vpc-endpoint-service-配置](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpc-endpoint-service-configuration.html) ()AWS CLI
+ [Edit-EC2VpcEndpointServiceConfiguration](https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2VpcEndpointServiceConfiguration.html)（适用于 Windows 的工具 PowerShell）

**使用控制台接受或拒绝连接请求**

1. 打开位于 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 的 Amazon VPC 控制台。

1. 在导航窗格中，选择 **Endpoint services**（端点服务）。

1. 选择端点服务。

1. 从 **Endpoint connections**（端点连接）选项卡中，选择端点连接。

1. 要接受连接请求，依次选择 **Actions**（操作）、**Accept endpoint connection request**（接受端点连接请求）。提示进行确认时，输入 **accept**，然后选择 **Accept**（接受）。

1. 要拒绝连接请求，请选择 **Actions（操作）**、**Reject endpoint connection request（拒绝端点连接请求）**。提示进行确认时，输入 **reject**，然后选择 **Reject**（拒绝）。

**使用命令行接受或拒绝连接请求**
+ [accept-vpc-endpoint-connections](https://docs.aws.amazon.com/cli/latest/reference/ec2/accept-vpc-endpoint-connections.html)或 [reject-vpc-endpoint-connections](https://docs.aws.amazon.com/cli/latest/reference/ec2/reject-vpc-endpoint-connections.html)(AWS CLI)
+ [Approve-EC2EndpointConnection](https://docs.aws.amazon.com/powershell/latest/reference/items/Approve-EC2EndpointConnection.html)或 [Deny-EC2EndpointConnection](https://docs.aws.amazon.com/powershell/latest/reference/items/Deny-EC2EndpointConnection.html)（适用于 Windows 的工具 PowerShell）

## 管理负载均衡器
<a name="associate-load-balancer"></a>

您可以管理与端点服务相关联的负载均衡器。如果已有端点连接到端点服务，则您无法取消关联负载均衡器。

如果您为负载均衡器启用其他可用区，则可用区将显示在**端点服务**页面的**负载均衡器**选项卡下。但是，该可用区不会为端点服务启用，也不会在 AWS 管理控制台上端点服务的**详细信息**选项卡中列出。您需要为新的可用区启用端点服务。

负载均衡器的可用区可能需要几分钟才能为端点服务做好准备。如果您使用自动化，我们建议您在自动化流程中添加等待时间，然后再为新的可用区启用端点服务。

**要使用控制台管理端点服务的负载均衡器**

1. 打开位于 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 的 Amazon VPC 控制台。

1. 在导航窗格中，选择 **Endpoint services**（端点服务）。

1. 选择端点服务。

1. 依次选择 **Actions**（操作）、**Associate or disassociate load balancers**（关联或取消关联负载均衡器）。

1. 根据需要更改端点服务配置。例如：
   + 选中负载均衡器的复选框，以便将其与端点服务关联。
   + 清除负载均衡器的复选框，以便将其与端点服务取消关联。您必须至少选择一个负载均衡器。

1. 选择**保存更改**

   对于您添加到负载均衡器中的任何新可用区，都将启用端点服务。新的可用区列在端点服务的**负载均衡器**选项卡和**详细信息**选项卡下。

 如果您为端点服务启用可用区，则服务使用者可以将该可用区中的子网添加到其接口 VPC 端点。

**要使用命令行更改端点服务的负载均衡器**
+ [modify-vpc-endpoint-service-配置](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpc-endpoint-service-configuration.html) ()AWS CLI
+ [Edit-EC2VpcEndpointServiceConfiguration](https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2VpcEndpointServiceConfiguration.html)（适用于 Windows 的工具 PowerShell）

要在最近为负载均衡器启用的可用区中启用端点服务，您只需使用端点服务的 ID 调用命令即可。

## 关联私有 DNS 名称
<a name="associate-private-dns-name"></a>

您可以将私有 DNS 名称与端点服务相关联。关联私有 DNS 名称后，您必须更新 DNS 服务器上域的条目。服务提供商必须先验证服务使用者拥有该域，然后服务使用者才能使用私有 DNS 名称。有关更多信息，请参阅 [管理 DNS 名称](manage-dns-names.md)。

**使用控制台修改端点服务私有 DNS 名称**

1. 打开位于 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 的 Amazon VPC 控制台。

1. 在导航窗格中，选择 **Endpoint services**（端点服务）。

1. 选择端点服务。

1. 依次选择 **Actions**（操作）、**Modify private DNS name**（修改私有 DNS 名称）。

1. 选择 **Associate a private DNS name with the service**（将私有 DNS 名称与服务关联），然后输入私有 DNS 名称。
   + 域名必须使用小写。
   + 您可以在域名中使用通配符（例如 **\$1.myexampleservice.com**)。

1. 选择**保存更改**。

1. 如果验证状态为 **verified**（已验证），则私有 DNS 名称可供服务使用者使用。如果验证状态发生变化，新的连接请求将被拒绝，但现有连接不会受到影响。

**使用命令行修改端点服务私有 DNS 名称**
+ [modify-vpc-endpoint-service-配置](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpc-endpoint-service-configuration.html) ()AWS CLI
+ [Edit-EC2VpcEndpointServiceConfiguration](https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2VpcEndpointServiceConfiguration.html)（适用于 Windows 的工具 PowerShell）

**使用控制台启动域验证过程**

1. 打开位于 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 的 Amazon VPC 控制台。

1. 在导航窗格中，选择 **Endpoint services**（端点服务）。

1. 选择端点服务。

1. 依次选择 **Actions**（操作）、**Verify domain ownership for private DNS name**（验证私有 DNS 名称的域所有权）。

1. 提示进行确认时，输入 **verify**，然后选择 **Verify（验证）**。

**使用命令行启动域验证过程**
+ [start-vpc-endpoint-service-private-dns-verification](https://docs.aws.amazon.com/cli/latest/reference/ec2/start-vpc-endpoint-service-private-dns-verification.html) (AWS CLI)
+ [Start-EC2VpcEndpointServicePrivateDnsVerification](https://docs.aws.amazon.com/powershell/latest/reference/items/Start-EC2VpcEndpointServicePrivateDnsVerification.html)（适用于 Windows 的工具 PowerShell）

## 修改支持的区域
<a name="manage-supported-regions"></a>

您可以修改端点服务的支持区域集。您必须先选择加入，然后才能添加选择加入区域。您无法移除托管端点服务的区域。

移除区域后，服务使用者无法创建将其指定为服务区域的新端点。移除区域不会影响将其指定为服务区域的现有端点。当您移除区域时，我们建议您拒绝来自该区域的任何现有端点连接。

**修改您的端点服务支持的区域**

1. 打开位于 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 的 Amazon VPC 控制台。

1. 在导航窗格中，选择 **Endpoint services**（端点服务）。

1. 选择端点服务。

1. 选择**操作**、**修改支持的区域**。

1. 根据需要选择和取消选择区域。

1. 选择**保存更改**。

## 修改支持的 IP 地址类型
<a name="supported-ip-address-types"></a>

您可以更改端点服务支持的 IP 地址类型。

**考虑因素**  
要使您的终端节点服务能够接受 IPv6 请求，其网络负载均衡器必须使用双堆栈 IP 地址类型。目标不需要支持流 IPv6 量。有关更多信息，请参阅*网络负载均衡器用户指南*中的 [IP 地址类型](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/network-load-balancers.html#ip-address-type)。

**使用控制台修改支持的 IP 地址类型**

1. 打开位于 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 的 Amazon VPC 控制台。

1. 在导航窗格中，选择 **Endpoint services**（端点服务）。

1. 选择 VPC 端点服务。

1. 依次选择 **Actions**（操作）、**Modify supported IP address types**（修改支持的 IP 地址类型）。

1. 对于 **Supported IP address types**（支持的 IP 地址类型），执行以下任一操作：
   + 选择 **IPv4**-启用终端节点服务以接受 IPv4 请求。
   + 选择 **IPv6**-启用终端节点服务以接受 IPv6 请求。
   + 选择**IPv4**和 **IPv6**-使终端节点服务能够同时接受 IPv4 和 IPv6 请求。

1. 选择**保存更改**。

**使用命令行修改支持的 IP 地址类型**
+ [modify-vpc-endpoint-service-配置](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpc-endpoint-service-configuration.html) ()AWS CLI
+ [Edit-EC2VpcEndpointServiceConfiguration](https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2VpcEndpointServiceConfiguration.html)（适用于 Windows 的工具 PowerShell）

## 管理标签
<a name="add-remove-endpoint-service-tags"></a>

您可以对资源进行标记，以帮助您识别资源或根据组织的需求进行分类。

**使用控制台管理端点服务的标签**

1. 打开位于 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 的 Amazon VPC 控制台。

1. 在导航窗格中，选择 **Endpoint services**（端点服务）。

1. 选择 VPC 端点服务。

1. 依次选择 **Actions**（操作）、**Manage tags**（管理标签）。

1. 对于每个要添加的标签，请选择 **Add new tag**（添加新标签），然后输入标签键和标签值。

1. 若要删除标签，请选择标签的键和值右侧的 **Remove**（删除）。

1. 选择**保存**。

**使用控制台管理端点连接的标签**

1. 打开位于 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 的 Amazon VPC 控制台。

1. 在导航窗格中，选择 **Endpoint services**（端点服务）。

1. 选择 VPC 端点服务，然后选择 **Endpoint connections**（端点连接）选项卡。

1. 选择端点连接，然后依次选择 **Actions**（操作）、**Manage tags**（管理标签）。

1. 对于每个要添加的标签，请选择 **Add new tag**（添加新标签），然后输入标签键和标签值。

1. 若要删除标签，请选择标签的键和值右侧的 **Remove**（删除）。

1. 选择**保存**。

**使用控制台管理端点服务权限的标签**

1. 打开位于 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 的 Amazon VPC 控制台。

1. 在导航窗格中，选择 **Endpoint services**（端点服务）。

1. 选择 VPC 端点服务，然后选择 **Allow principals**（允许主体）选项卡。

1. 选择主体，然后依次选择 **Actions**（操作）、**Manage tags**（管理标签）。

1. 对于每个要添加的标签，请选择 **Add new tag**（添加新标签），然后输入标签键和标签值。

1. 若要删除标签，请选择标签的键和值右侧的 **Remove**（删除）。

1. 选择**保存**。

**使用命令行添加和删除标签**
+ [create-tags](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-tags.html) 和 [delete-tags](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-tags.html) (AWS CLI)
+ [New-EC2Tag](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2Tag.html)和 [Remove-EC2Tag](https://docs.aws.amazon.com/powershell/latest/reference/items/Remove-EC2Tag.html)（适用于 Windows 的工具 PowerShell）