AWS VPC终端节点使用

在AWS（亚马逊网络服务）的VPC（虚拟私有云）中，接口端点（Interface Endpoints）和网关端点（Gateway Endpoints）都用于访问AWS服务。

VPC 终端节点分类

接口端点（Interface Endpoints）：

网关端点（Gateway Endpoints）：

总的来说，接口端点和网关端点都提供了从VPC中访问AWS服务的方法，但接口端点适用于更广泛的AWS服务，提供了更高的安全性和可扩展性。而网关端点适用于特定的服务（Amazon S3和DynamoDB），并无额外费用。

以下是通过 VPC 终端节点访问 AWS 服务(DynamoDB)的原理：

创建 VPC 终端节点：在你的 VPC 中，你需要创建一个 DynamoDB 终端节点。这个终端节点将在你的 VPC 内部与 Amazon DynamoDB 建立一个连接。
更新路由表：在创建 VPC 终端节点是，会要求选择路由表，将会自动更新 VPC 的路由表。将一条路由添加到路由表中，该路由将针对 DynamoDB 的前缀列表指向刚创建的 VPC 终端节点，匹配优先级使用最长前缀匹配确认。这样，VPC 中的流量将根据需要路由到 DynamoDB 终端节点。
控制访问：通过 VPC 终端节点，可以使用安全组和IAM访问策略对访问 DynamoDB 的流量进行更精细的控制，提高安全性。
访问 DynamoDB：现在，当应用程序或服务（例如 AWS Lambda）尝试访问 DynamoDB 时，流量将通过 VPC 终端节点内部的专用链接传输，而不是公共网络。这可以帮助确保数据安全性和降低延迟。

总结一下，通过 VPC 终端节点访问 DynamoDB 的原理是使用 AWS PrivateLink 技术在 VPC 内部创建一个连接，该连接使你能够通过私有网络路径访问 DynamoDB，从而增加安全性和性能。要实现这一目标，你需要创建 VPC 终端节点、更新路由表并配置访问控制。

通过VPC的接口端点访问AWS IoT服务的原理与访问其他AWS服务类似，使用AWS PrivateLink技术。以下是访问IoT服务时的具体步骤：

创建接口端点：在VPC中，为AWS IoT Core服务创建一个接口端点。这将为VPC内访问IoT服务创建一个网络入口点。
弹性网络接口（ENI）：接口端点会在VPC内创建一个弹性网络接口（ENI），具有一个或多个私有IP地址。这些IP地址将用于在VPC内访问AWS IoT Core服务。
安全组：为接口端点分配一个安全组，配置安全组规则以限制对接口端点的访问。您可以限制访问IoT服务的来源IP地址、协议和端口。
修改路由表：在创建 VPC 终端节点是，会要求选择路由表，将会自动更新 VPC 的路由表。这样，流量就可以通过接口端点访问AWS IoT服务。注意：有些端点不支持启用的私有 DNS 名称，这时需要去Route 53配置私有的域名解析，将流量路由到弹性网络接口的ip地址。
访问策略：为接口端点设置访问策略，以限制在VPC内访问AWS IoT服务时允许的操作和资源。这些策略可限制对设备、设备阴影、规则和其他IoT资源的访问。
数据传输：通过接口端点，您的数据在访问AWS IoT服务时不会经过公共互联网，而是在AWS的私有网络内部传输。这增强了安全性和网络性能。

总结一下，通过VPC的接口端点访问AWS IoT服务的原理是：创建一个接口端点，并配置相应的弹性网络接口、安全组和路由表条目。这样，您就可以在VPC内安全地访问IoT服务，并对访问进行控制和限制。