本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 已驗證的存取端點
Verified Access 端點代表應用程式。每個端點都與一個 Verified Access 群組關聯,並繼承此群組的存取政策。您可以選擇將應用程式特定的端點政策連接到每個端點。
**Topics**
+ [驗證存取端點類型](#endpoint-types)
+ [Verified Access 如何與共用 VPCs和子網路搭配使用](#shared-vpc)
+ [建立已驗證存取的負載平衡器端點](create-load-balancer-endpoint.md)
+ [建立已驗證存取的網路介面端點](create-network-interface-endpoint.md)
+ [建立已驗證存取的網路 CIDR 端點](create-network-cidr-endpoint.md)
+ [為已驗證存取建立 Amazon Relational Database Service 端點](create-rds-endpoint.md)
+ [允許來自 Verified Access 端點的流量](configure-endpoint-security-group.md)
+ [修改已驗證存取端點](modify-endpoint.md)
+ [修改已驗證存取端點政策](modify-endpoint-policy.md)
+ [刪除已驗證存取端點](delete-endpoint.md)
## 驗證存取端點類型
以下是可能的 Verified Access 端點類型:
+ **負載平衡器** – 應用程式請求會傳送到負載平衡器,以分發到您的應用程式。如需詳細資訊,請參閱[建立負載平衡器端點](create-load-balancer-endpoint.md)。
+ **網路界面** – 應用程式請求會使用指定的通訊協定和連接埠傳送至網路界面。如需詳細資訊,請參閱[建立網路介面端點](create-network-interface-endpoint.md)。
+ **網路 CIDR** – 應用程式請求會傳送至指定的 CIDR 區塊。如需詳細資訊,請參閱[建立網路 CIDR 端點](create-network-cidr-endpoint.md)。
+ **Amazon Relational Database Service (RDS)** – 應用程式請求會傳送至 RDS 執行個體、RDS 叢集或 RDS 資料庫代理。如需詳細資訊,請參閱[建立 Amazon Relational Database Service 端點](create-rds-endpoint.md)。
## Verified Access 如何與共用 VPCs和子網路搭配使用
以下是有關共用 VPC 子網路的行為:
+ VPC 子網路共用支援已驗證的存取端點。參與者可以在共用子網路中建立 Verified Access 端點。
+ 建立端點的參與者將是端點擁有者,並且是唯一允許修改端點的一方。VPC 擁有者將不允許修改端點。
+ 驗證存取端點無法在 AWS 本機區域中建立,因此無法透過本機區域共用。
如需詳細資訊,請參閱《Amazon VPC 使用者指南》**中的[與其他帳戶共享 VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-sharing.html)。
# 建立已驗證存取的負載平衡器端點
使用下列程序為 Verified Access 建立負載平衡器端點。如需負載平衡器的詳細資訊,請參閱 [Elastic Load Balancing 使用者指南](https://docs.aws.amazon.com/elasticloadbalancing/latest/userguide/)。
**要求**
+ 僅支援 IPv4 流量。
+ 只有透過 TCP 支援長期 HTTPS 連線,例如 WebSocket 連線。
+ 負載平衡器必須是 Application Load Balancer 或 Network Load Balancer,而且必須是內部負載平衡器。
+ 負載平衡器和子網路必須屬於相同的虛擬私有雲端 (VPC)。
+ HTTPS 負載平衡器可以使用自我簽署或公有 TLS 憑證。使用金鑰長度為 1,024 或 2,048 的 RSA 憑證。
+ 建立 Verified Access 端點之前,您必須建立 Verified Access 群組。如需詳細資訊,請參閱[建立 Verified Access 群組](create-verified-access-group.md#create-group)。
+ 您必須為您的應用程式提供網域名稱。這是您的使用者用來存取應用程式的公有 DNS 名稱。您也需要提供具有符合此網域名稱之 CN 的公有 SSL 憑證。您可以使用 建立或匯入憑證 AWS Certificate Manager。
**使用主控台建立負載平衡器端點**
1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。
1. 在導覽窗格中,選擇**驗證存取端點**。
1. 選擇**建立已驗證存取端點**。
1. (選用) 針對**名稱標籤**和**描述**,輸入端點的名稱和描述。
1. 針對 **Verified Access 群組**,選擇 Verified Access 群組。
1. 如需**端點詳細資訊**,請執行下列動作:
1. 針對**通訊協定**,選擇通訊協定。
1. 在 **Attachment type** (連接類型)中,選擇 **VPC**。
1. 針對**端點類型**,選擇**負載平衡器**。
1. (HTTP/HTTPS) 針對**連接埠**,輸入連接埠號碼。(TCP) 對於**連接埠範圍**,輸入連接埠範圍,然後選擇**新增連接埠**。
1. 針對**負載平衡器 ARN**,選擇負載平衡器。
1. 針對**子網路**,選擇子網路。每個可用區域只能指定一個子網路。
1. 針對**安全群組**,選擇端點的安全群組。這些安全群組會控制 Verified Access 端點的傳入和傳出流量。
1. 針對**端點網域字首**,輸入自訂識別符,以附加於 Verified Access 為端點產生的 DNS 名稱。
1. (HTTP/HTTPS) 如需**應用程式詳細資訊**,請執行下列動作:
1. 在**應用程式網域**中,輸入應用程式的 DNS 名稱。
1. 在**網域憑證 ARN** 下,選擇公有 TLS 憑證。
1. (選用) 針對**政策定義**,輸入端點的已驗證存取政策。
1. (選用) 若要新增標籤,請選擇 **Add new tag (新增標籤)**,然後輸入標籤的鍵和值。
1. 選擇**建立已驗證存取端點**。
**使用 建立已驗證存取端點 AWS CLI**
使用 [create-verified-access-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-verified-access-endpoint.html) 命令。
# 建立已驗證存取的網路介面端點
使用下列程序來建立網路介面端點。
**要求**
+ 僅支援 IPv4 流量。
+ 網路界面必須屬於與安全群組相同的虛擬私有雲端 (VPC)。
+ 我們使用網路界面上的私有 IP 轉送流量。
+ 建立 Verified Access 端點之前,您必須建立 Verified Access 群組。如需詳細資訊,請參閱[建立 Verified Access 群組](create-verified-access-group.md#create-group)。
+ 您必須為您的應用程式提供網域名稱。這是您的使用者用來存取應用程式的公有 DNS 名稱。您也需要提供具有符合此網域名稱之 CN 的公有 SSL 憑證。您可以使用 建立或匯入憑證 AWS Certificate Manager。
**使用主控台建立網路介面端點**
1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。
1. 在導覽窗格中,選擇**驗證存取端點**。
1. 選擇**建立已驗證存取端點**。
1. (選用) 針對**名稱標籤**和**描述**,輸入端點的名稱和描述。
1. 針對 **Verified Access 群組**,選擇 Verified Access 群組。
1. 如需**端點詳細資訊**,請執行下列動作:
1. 針對**通訊協定**,選擇通訊協定。
1. 在 **Attachment type** (連接類型)中,選擇 **VPC**。
1. 針對**端點類型**,選擇**網路界面**。
1. (HTTP/HTTPS) 針對**連接埠**,輸入連接埠號碼。(TCP) 對於**連接埠範圍**,輸入連接埠範圍,然後選擇**新增連接埠**。
1. 針對**網路界面**,選擇網路界面。
1. 針對**安全群組**,選擇端點的安全群組。這些安全群組會控制 Verified Access 端點的傳入和傳出流量。
1. 在**端點網域字首**中,輸入自訂識別符,以附加於 Verified Access 為端點產生的 DNS 名稱。
1. (HTTP/HTTPS) 如需**應用程式詳細資訊**,請執行下列動作:
1. 針對**應用程式網域**,輸入應用程式的 DNS 名稱。
1. 在**網域憑證 ARN** 下,選擇公有 TLS 憑證。
1. (選用) 針對**政策定義**,輸入端點的已驗證存取政策。
1. (選用) 若要新增標籤,請選擇 **Add new tag (新增標籤)**,然後輸入標籤的鍵和值。
1. 選擇**建立已驗證存取端點**。
**使用 建立已驗證存取端點 AWS CLI**
使用 [create-verified-access-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-verified-access-endpoint.html) 命令。
# 建立已驗證存取的網路 CIDR 端點
使用下列程序來建立網路 CIDR 端點。例如,您可以使用網路 CIDR 端點,透過連接埠 22 (SSH) 存取特定子網路中的 EC2 執行個體。
**要求**
+ 僅支援 TCP 通訊協定。
+ Verified Access 提供資源所使用 CIDR 範圍內每個 IP 地址的 DNS 記錄。如果您刪除資源,其 IP 地址將不再使用,且 Verified Access 會刪除對應的 DNS 記錄。
+ 如果您指定自訂子網域,Verified Access 會針對端點子網路中位於指定 CIDR 範圍且用於子網域的每個 IP 地址提供 DNS 記錄,並為您提供其 DNS 伺服器的 IP 地址。您可以為子網域設定轉送規則,以指向 Verified Access DNS 伺服器。Verified Access DNS 伺服器會將對網域中記錄提出的任何請求解析為所請求資源的 IP 地址。
+ 建立 Verified Access 端點之前,您必須建立 Verified Access 群組。如需詳細資訊,請參閱[建立 Verified Access 群組](create-verified-access-group.md#create-group)。
+ 建立端點,然後使用 連線至應用程式[連線用戶端](connectivity-client.md)。
**使用主控台建立網路 CIDR 端點**
1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。
1. 在導覽窗格中,選擇**驗證存取端點**。
1. 選擇**建立已驗證存取端點**。
1. (選用) 針對**名稱標籤**和**描述**,輸入端點的名稱和描述。
1. 針對 **Verified Access 群組**,選擇端點的 Verified Access 群組。
1. 如需**端點詳細資訊**,請執行下列動作:
1. 針對 **Protocol (通訊協定)**,選擇 **TCP**。
1. 在 **Attachment type** (連接類型)中,選擇 **VPC**。
1. 針對**端點類型**,選擇**網路 CIDR**。
1. 針對**連接埠範圍**,輸入連接埠範圍,然後選擇**新增連接埠**。
1. 針對**子網路**,選擇子網路。
1. 針對**安全群組**,選擇端點的安全群組。這些安全群組會控制 Verified Access 端點的傳入和傳出流量。
1. (選用) 對於**端點網域字首**,輸入自訂識別符以附加於驗證存取為端點產生的 DNS 名稱。
1. (選用) 針對**政策定義**,輸入端點的已驗證存取政策。
1. (選用) 若要新增標籤,請選擇 **Add new tag (新增標籤)**,然後輸入標籤的鍵和值。
1. 選擇**建立已驗證存取端點**。
**使用 建立已驗證存取端點 AWS CLI**
使用 [create-verified-access-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-verified-access-endpoint.html) 命令。
# 為已驗證存取建立 Amazon Relational Database Service 端點
使用下列程序來建立 Amazon Relational Database Service (RDS) 端點。
**要求**
+ 僅支援 TCP 通訊協定。
+ 建立 RDS 執行個體、RDS 叢集或 RDS 資料庫代理。
+ 建立 Verified Access 端點之前,您必須建立 Verified Access 群組。如需詳細資訊,請參閱[建立 Verified Access 群組](create-verified-access-group.md#create-group)。
+ 建立端點,然後使用 連線至應用程式[連線用戶端](connectivity-client.md)。
**使用主控台建立 Amazon Relational Database Service 端點**
1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。
1. 在導覽窗格中,選擇**已驗證存取端點**。
1. 選擇**建立已驗證存取端點**。
1. (選用) 針對**名稱標籤**和**描述**,輸入端點的名稱和描述。
1. 針對 **Verified Access 群組**,選擇端點的 Verified Access 群組。
1. 如需**端點詳細資訊**,請執行下列動作:
1. 針對 **Protocol (通訊協定)**,選擇 **TCP**。
1. 在 **Attachment type** (連接類型)中,選擇 **VPC**。
1. 針對**端點類型**,選擇 **Amazon Relational Database Service (RDS)**。
1. 對於 **RDS 目標類型**,請執行下列其中一項操作:
+ 選擇 **RDS 執行個體**,然後從 RDS 執行個體中選擇 **RDS 執行個體**。
+ 選擇 **RDS 叢集**,然後從 RDS 叢集中選擇 **RDS 叢集**。
+ 選擇 **RDS 資料庫代理**,然後從 RDS 資料庫代理中選擇 **RDS 資料庫代理**。
1. 針對 **RDS 端點**,選擇與您在上一個步驟中選擇的 RDS 資源相關的 RDS 端點。
1. 針對 **Port (連接埠)**,輸入連接埠號碼。
1. 針對**子網路**,選擇子網路。每個可用區域只能指定一個子網路。
1. 針對**安全群組**,選擇端點的安全群組。這些安全群組會控制 Verified Access 端點的傳入和傳出流量。
1. (選用) 對於**端點網域字首**,輸入自訂識別符,以附加於 Verified Access 為端點產生的 DNS 名稱。
1. (選用) 針對**政策定義**,輸入端點的已驗證存取政策。
1. (選用) 若要新增標籤,請選擇 **Add new tag (新增標籤)**,然後輸入標籤的鍵和值。
1. 選擇**建立已驗證存取端點**。
**使用 建立已驗證存取端點 AWS CLI**
使用 [create-verified-access-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-verified-access-endpoint.html) 命令。
# 允許來自 Verified Access 端點的流量
您可以為應用程式設定安全群組,以便允許來自 Verified Access 端點的流量。您可以透過新增傳入規則來指定端點的安全群組做為來源來執行此操作。我們建議您移除任何其他傳入規則,讓您的應用程式僅接收來自 Verified Access 端點的流量。
我們建議您保留現有的傳出規則。
**使用主控台更新應用程式的安全群組規則**
1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。
1. 在導覽窗格中,選擇**已驗證存取端點**。
1. 選擇 Verified Access 端點,在**詳細資訊**索引標籤上尋找**安全群組 IDs**,然後複製端點的安全群組 ID。
1. 在導覽窗格中,選擇**安全群組**。
1. 選取與目標相關聯之安全群組的核取方塊,然後選擇**動作**、**編輯傳入規則**。
1. 若要新增允許來自 Verified Access 端點之流量的安全群組規則,請執行下列動作:
1. 選擇**新增規則**。
1. 針對**類型**,選擇**所有流量**或要允許的特定流量。
1. 針對**來源**,選擇**自訂**並貼上端點的安全群組 ID。
1. (選用) 若要要求流量僅來自您的驗證存取端點,請刪除任何其他傳入安全群組規則。
1. 選擇**儲存規則**。
**使用 更新應用程式的安全群組規則 AWS CLI**
使用 [describe-verified-access-endpoints](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-verified-access-endpoints.html) 命令來取得安全群組的 ID,然後使用 [authorize-security-group-ingress](https://docs.aws.amazon.com/cli/latest/reference/ec2/authorize-security-group-ingress.html) 命令來新增傳入規則。
# 修改已驗證存取端點
使用下列程序來修改 Verified Access 端點。
**使用主控台修改已驗證存取端點**
1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。
1. 在導覽窗格中,選擇**驗證存取端點**。
1. 選取端點。
1. 選擇**動作**、**修改已驗證的存取端點**。
1. 視需要修改端點詳細資訊。
1. 選擇**修改已驗證存取端點**。
**使用 修改已驗證存取端點 AWS CLI**
使用 [modify-verified-access-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-verified-access-endpoint.html) 命令。
# 修改已驗證存取端點政策
使用下列程序來修改 Verified Access 端點的政策。進行變更後,需要幾分鐘的時間才會生效。
**使用主控台修改 Verified Access 端點政策**
1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。
1. 在導覽窗格中,選擇**已驗證存取端點**。
1. 選取端點。
1. 選擇**動作**、**修改已驗證存取端點政策**。
1. (選用) 視需要開啟或關閉**啟用政策**。
1. (選用) 對於**政策**,輸入驗證存取政策以套用至端點。
1. 選擇**修改已驗證存取端點政策**。
**使用 修改已驗證存取端點政策 AWS CLI**
使用 [modify-verified-access-endpoint-policy](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-verified-access-endpoint-policy.html) 命令。
# 刪除已驗證存取端點
當您完成 Verified Access 端點時,您可以將其刪除。
**使用主控台刪除 Verified Access 端點**
1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。
1. 在導覽窗格中,選擇**驗證存取端點**。
1. 選取端點。
1. 選擇**動作**、**刪除已驗證的存取端點**。
1. 出現確認提示時,請輸入 **delete**,然後選擇 **Delete** (刪除)。
**使用 刪除已驗證存取端點 AWS CLI**
使用 [delete-verified-access-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-verified-access-endpoint.html) 命令。