

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 在 VPC 和 EBS direct API 之间创建私有连接
<a name="ebs-apis-vpc-endpoints"></a>

您可以通过创建由 [AWS PrivateLink](https://aws.amazon.com/privatelink/) 提供支持的*接口 VPC 终端节点*在 VPC 和 EBS 直接 API 之间建立私有连接。您可以访问 EBS 直接 API，就像它在您的 VPC 中一样，而无需使用互联网网关、NAT 设备、VPN 连接或 AWS Direct Connect 连接。VPC 中的实例即使没有公有 IP 地址也可与 EBS direct API 进行通信。

我们将在您为接口终端节点启用的每个子网中创建一个终端节点网络接口。

有关更多信息，请参阅*AWS PrivateLink 指南 AWS PrivateLink*中的[AWS 服务 通过访问](https://docs.aws.amazon.com/vpc/latest/privatelink/privatelink-access-aws-services.html)。

## 关于 EBS direct API VPC 终端节点的注意事项
<a name="vpc-endpoint-considerations"></a>

在为 EBS 直接 API 设置接口 VPC 终端节点之前，请查看 *AWS PrivateLink 指南*中的[注意事项](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#considerations-interface-endpoints)。

默认情况下，允许通过终端节点对 EBS direct API 进行完全访问。您可以使用 VPC 端点策略控制对接口端点的访问。您可以为 VPC 端点附加控制对 EBS direct API 的访问的端点策略。该策略指定以下信息：
+ 可执行操作的**主体**。
+ 可执行的**操作**。
+ 可对其执行操作的**资源**。

有关更多信息，请参阅 *Amazon VPC 用户指南*中的[使用 VPC 终端节点控制对服务的访问](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html)。

下面是用于 EBS direct API 的端点策略示例。当附加到端点时，此策略授予对所有资源上的所有 EBS direct API 操作的访问权限，但标有键 `Environment` 和值 `Test` 的快照除外。

```
{
    "Statement": [
        {
            "Effect": "Deny",
            "Action": "ebs:*",
            "Principal": "*",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/Environment": "Test"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "ebs:*",
            "Principal": "*",
            "Resource": "*"
        }
    ]
}
```

## 为 EBS direct API 创建接口 VPC 终端节点
<a name="vpc-endpoint-create"></a>

您可以使用 Amazon VPC 控制台或 AWS Command Line Interface （AWS CLI）为 EBS 直接 API 创建 VPC 端点。有关更多信息，请参阅 *AWS PrivateLink 指南*中的[创建 VPC 终端节点](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#create-interface-endpoint-aws)。

使用以下服务名称之一为 EBS 直接 API 创建 VPC 端点：
+ `com.amazonaws.{{region}}.ebs`
+ `com.amazonaws.{{region}}.ebs-fips`：创建符合联邦信息处理标准（FIPS）出版物 140-2 美国政府标准的接口 VPC 端点。
**注意**  
FIPS-compliant 可以为以下区域创建接口 VPC 终端节点：`us-east-1``us-east-2`\| `us-west-1` \| `us-west-2` \| \| `ca-central-1` \| `ca-west-1`。 FIPS-compliant 接口 VPC 终端节点同时支持 IPv4 和 IPv6 流量。

如果为终端节点启用私有 DNS，则可以使用其默认 DNS 名称作为区域，向 EBS direct API 发送 API 请求，例如 `ebs.us-east-1.amazonaws.com`。