别担心，刚接手AWS相关工作遇到这种问题很正常，我来一步步帮你解决：

问题1：如何定位指定ARN对应的VPC endpoint资源 #

你提到在VPC和EC2控制台找不到这个资源，大概率是找的路径不对，或者可以用更直接的方式来查找：

• 用AWS CLI直接查询：这是最准确快速的方式，在本地或AWS CloudShell中运行以下命令（替换成你的ARN里的端点ID和区域）：

  aws ec2 describe-vpc-endpoints --vpc-endpoint-ids vpce-987654321098765 --region us-east-1
  

  这个命令会返回该VPC endpoint的所有详细信息，包括它所属的VPC ID、关联的服务（比如S3、DynamoDB等）、状态、附加的子网和路由表，还有关键的访问策略内容。

• 检查控制台的正确路径：VPC endpoint是属于VPC的资源，不是EC2实例。你需要打开VPC控制台，在左侧导航栏找到Endpoints选项（在“Virtual private cloud”分类下），然后在搜索框里输入vpce-987654321098765来查找。如果还是看不到，可能是你的IAM账号没有ec2:DescribeVpcEndpoints权限，需要联系管理员调整权限。

• 注意：VPC endpoint不是EC2实例：你不用在EC2实例列表里找它，它是一个虚拟的网络组件，用来让VPC内的资源直接访问AWS服务，不需要走公网。

问题2：如何配置VPC endpoint仅接受签名请求 #

限制未签名请求是通过VPC endpoint的访问策略来实现的，和路由表无关（路由表只是控制流量是否走这个endpoint）。具体操作如下：

• 找到并编辑访问策略：

  1. 用上面的CLI命令找到该endpoint后，查看PolicyDocument字段就能看到当前的策略。
  2. 如果用控制台，找到这个endpoint进入详情页，切换到Policy标签页，在这里可以编辑策略。

• 示例策略：仅允许签名的HTTPS请求：
  你需要在策略中添加条件，要求请求必须使用AWS Signature Version 4签名，并且通过HTTPS传输（aws:SecureTransport）。下面是一个针对S3服务的示例策略，你可以根据实际关联的服务调整：

  {
    "Version": "2012-10-17",
    "Statement": [
      {
        "Effect": "Allow",
        "Principal": "*",
        "Action": "s3:*",
        "Resource": ["arn:aws:s3:::your-target-bucket", "arn:aws:s3:::your-target-bucket/*"],
        "Condition": {
          "Bool": {
            "aws:SecureTransport": "true"
          },
          "StringEquals": {
            "aws:SignatureVersion": "v4"
          }
        }
      }
    ]
  }
  

  这个策略会拒绝所有未签名的请求，以及HTTP的请求，只允许符合条件的签名HTTPS请求通过该VPC endpoint访问指定资源。

• 补充说明：路由表的作用是决定VPC内哪些子网的流量会通过这个VPC endpoint访问对应AWS服务，而访问策略是用来控制这些请求是否被允许，以及请求必须满足的条件（比如签名要求）。

备注：内容来源于stack exchange，提问作者wonder95