我正在测试使用AWS Privatelink功能发布到SNS。那时,我发现我可以为SNS服务(com.amazonaws.us-west-1.sns)创建多个端点。是否存在用于SNS服务的多个端点的有效用例?
答案 0 :(得分:1)
终结点是VPC级别的构造,因此无法在创建它的VPC之外使用。我假设在您的问题中,您正在寻找在同一VPC中具有多个终结点的用例。 >
创建端点需要几个输入参数,其中一些在Creating an Interface Endpoint的Interface VPC Endpoints (AWS PrivateLink)下列出。另外,可以在AWS Console本身的endpoint creation form上最好地体验这些输入参数。
允许这些输入参数的不同组合,以构建或适应细粒度的安全策略和分段实践,使多个端点有意义。
例如,您可能在同一VPC中拥有两个不同的应用程序,最好通过特定于其独特要求的操作和主题来访问SNS服务。 Creating an Amazon VPC Endpoint Policy for Amazon SNS文档中的此示例策略应能够突出显示以下可能性:
{
"Statement": [{
"Action": ["sns:Publish"],
"Effect": "Allow",
"Resource": "arn:aws:sns:us-east-2:123456789012:MyTopic",
"Principal": "arn:aws:iam:123456789012us-east:user/MyUser"
}]
}
或者,您的应用程序可能需要与不同的安全组关联(这是创建终结点的输入参数之一。)在这种情况下,可以将专用于这些网段的终结点与其他自定义项(例如,相关政策,将提供所需的细分级别。可能需要使用分段本身来主动防止应用程序意外配置错误对业务造成负面影响,或者在特定应用程序中出现威胁时遏制威胁。