本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 已啟用跨區域 AWS 服務
以下內容與跨區域 AWS 服務 整合 AWS PrivateLink。您可以建立界面端點,私下連接到另一個 AWS 區域中的這些服務,就像它們在您自己的 VPC 中執行一樣。
選擇 **AWS 服務** 欄中的連結以查看服務文件。**服務名稱**欄包含您在建立介面端點時指定的服務名稱。
- ** [Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/privatelink-interface-endpoints.html) **
- com.amazonaws.{{region}}.s3
- ** [AWS Identity and Access Management (IAM)](IAM/latest/UserGuide/reference_interface_vpc_endpoints.html) **
- com.amazonaws.iam
- ** [Amazon ECR](https://docs.aws.amazon.com/AmazonECR/latest/userguide/vpc-endpoints.html) **
- com.amazonaws.{{region}}.ecr.api
- com.amazonaws.{{region}}.ecr.dkr
- ** [AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/kms-vpc-endpoint.html) **
- com.amazonaws.{{region}}.kms
- com.amazonaws.{{region}}.kms-fips
- ** [Amazon ECS](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/vpc-endpoints.html) **
- com.amazonaws.{{region}}.ecs
- ** [AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/configuration-vpc-endpoints.html)**
- com.amazonaws.{{region}}.lambda
- ** [Amazon Data Firehose](https://docs.aws.amazon.com/firehose/latest/dev/vpc.html) **
- com.amazonaws.{{region}}.kinesis-firehose
- ** [Amazon Managed Service for Apache Flink](https://docs.aws.amazon.com//managed-flink/latest/java/vpc-internet.html) **
- com.amazonaws.{{region}}.kinesisanalytics
- com.amazonaws.{{region}}.kinesisanalytics-fips
- ** Amazon Route 53**
- com.amazonaws.route53
## 檢視可用的 AWS 服務 名稱
您可以使用 [describe-vpc-endpoint-services](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-vpc-endpoint-services.html) 命令來檢視跨區域啟用的服務。
下列範例顯示 `us-east-1` 區域中 AWS 服務 的使用者可透過介面端點存取指定 (`us-west-2`) 服務區域的 。`--query` 選項會將輸出限制為服務名稱。
```
aws ec2 describe-vpc-endpoint-services \
--filters Name=service-type,Values=Interface Name=owner,Values=amazon \
--region {{us-east-1}} \
--service-region {{us-west-2}} \
--query ServiceNames
```
以下為範例輸出。不會顯示完整的輸出。
```
[
"com.amazonaws.us-west-2.ecr.api",
"com.amazonaws.us-west-2.ecr.dkr",
"com.amazonaws.us-west-2.ecs",
"com.amazonaws.us-west-2.ecs-fips",
...
"com.amazonaws.us-west-2.s3"
]
```
**注意**
您必須使用區域 DNS。 AWS 服務 在另一個區域中存取 時,不支援區域 DNS。如需詳細資訊,請參閱《Amazon VPC 使用者指南》中的[檢視和更新 DNS 屬性](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc-dns-updating)。
## 許可和考量
+ 根據預設,IAM 實體沒有在其他 AWS 服務 區域中存取 的許可。若要授予跨區域存取所需的許可,IAM 管理員可以建立允許僅限`vpce:AllowMultiRegion`許可動作的 IAM 政策。
+ 確保您的服務控制政策 (SCP) 不會拒絕僅限`vpce:AllowMultiRegion`許可的動作。若要使用 AWS PrivateLink的跨區域連線功能,您的身分政策和 SCP 必須允許此動作。
+ 若要控制 IAM 實體在建立 VPC 端點時可指定為服務區域的區域,請使用 `ec2:VpceServiceRegion`條件金鑰。
+ 服務消費者必須先選擇加入 區域,才能將其選取為端點的服務區域。我們建議服務消費者盡可能使用區域內連線存取服務,而不是跨區域連線。區域內連線提供更低的延遲和更低的成本。
+ 您可以使用 IAM 的新`aws:SourceVpcArn`全域條件金鑰來保護您的資源可從哪些區域 AWS 帳戶 和 VPCs存取。此金鑰有助於實作資料落地和區域型存取控制。
+ 為了實現高可用性,請在至少兩個可用區域中建立啟用跨區域的界面端點。在這種情況下,供應商和消費者不需要使用相同的可用區域。
+ 透過跨區域存取, 會 AWS PrivateLink 管理服務和消費者區域中可用區域之間的容錯移轉。它不會管理跨區域的容錯移轉。
+ 下列可用區域不支援跨區域存取:`use1-az3`、`apne2-az2`、、 `usw1-az2` `apne1-az3`和 `apne2-az4`。
+ 您可以使用 AWS Fault Injection Service 來模擬區域內和跨區域啟用界面端點的區域事件和模型故障案例。若要進一步了解,請參閱 [AWS FIS 文件](https://docs.aws.amazon.com/fis/latest/userguide/fis-actions-reference.html#network-actions-reference)。
## 建立介面端點到另一個區域中 AWS 服務 的
若要使用主控台建立介面端點,請參閱[建立 VPC 端點](https://docs.aws.amazon.com/vpc/latest/userguide/create-interface-endpoint.html#create-interface-endpoint-aws)一節。
在 CLI 中,您可以使用 [create-vpc-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-vpc-endpoint.html) 命令,將 VPC 端點建立到不同 AWS 服務 區域中的 。下列範例`us-west-2`會從 中的 VPC 建立 中 Amazon S3 的介面端點`us-east-1`。
```
aws ec2 create-vpc-endpoint \
--vpc-id {{vpc-id}} \
--service-name com.amazonaws.us-west-2.s3 \
--vpc-endpoint-type Interface \
--subnet-ids {{subnet-id-1 subnet-id-2}} \
--region us-east-1 \
--service-region us-west-2
```