Amazon RDS und Schnittstellen-VPC-Endpunkte (AWS PrivateLink) - Amazon Relational Database Service

Amazon RDS und Schnittstellen-VPC-Endpunkte (AWS PrivateLink)

Sie können eine private Verbindung zwischen Ihrer VPC und Amazon RDS-API-Endpunkten herstellen, indem Sie einen Schnittstellen-VPC-Endpunkt erstellen. Schnittstellenendpunkte werden von AWS PrivateLink unterstützt.

AWS PrivateLink ermöglicht den privaten Zugriff auf Amazon RDS-API-Operationen ohne Internet-Gateway, NAT-Gerät, VPN-Verbindung oder AWS Direct Connect-Verbindung. Instances in Ihrer VPC benötigen keine öffentlichen IP-Adressen, um mit Amazon RDS-API-Endpunkten kommunizieren zu können, um DB-Instances zu starten, zu ändern oder zu beenden. Ihre Instances benötigen auch keine öffentlichen IP-Adressen, um beliebige der verfügbaren RDS-API-Operationen zu verwenden. Der Datenverkehr zwischen der VPC und Amazon RDS verlässt das Amazon-Netzwerk nicht.

Jeder Schnittstellenendpunkt wird durch eine oder mehrere Elastic Network-Schnittstellen in Ihren Subnetzen dargestellt. Weitere Informationen zu Elastic Network-Schnittstellen finden Sie unter Elastic Network-Schnittstellen im Amazon EC2 Benutzerhandbuch.

Weitere Informationen zu VPC-Endpunkten finden Sie unter Schnittstellen-VPC-Endpunkte (AWS PrivateLink) im Amazon VPC Benutzerhandbuch. Weitere Informationen über RDS-API-Operationen finden Sie im Abschnitt Amazon RDS API Reference.

Überlegungen zu Amazon RDS-VPC-Endpunkten

Bevor Sie einen Schnittstellen-VPC-Endpunkt für Amazon RDS-API-Endpunkte einrichten, stellen Sie sicher, dass Sie die Eigenschaften und Einschränkungen des Schnittstellenendpunkts im Amazon VPC Benutzerhandbuch einsehen.

Amazon RDS unterstützt Aufrufe all seiner API-Aktionen aus der VPC.

VPC-Endpunktrichtlinien werden für Amazon RDS unterstützt. Standardmäßig ist der vollständige Zugriff auf Amazon RDS über den Endpunkt zulässig. Weitere Informationen finden Sie unter Steuerung des Zugriffs auf Services mit VPC-Endpunkten im Amazon VPC Benutzerhandbuch.

Verfügbarkeit

Amazon RDS unterstützt derzeit VPC-Endpunkte in den folgenden AWS-Regionen:

  • USA Ost (Ohio)

  • USA Ost (Nord-Virginia)

  • USA West (Nordkalifornien)

  • USA West (Oregon)

  • Asien-Pazifik (Hongkong)

  • Asien-Pazifik (Mumbai)

  • Asien-Pazifik (Seoul)

  • Asien-Pazifik (Singapur)

  • Asien-Pazifik (Sydney)

  • Asien-Pazifik (Tokio)

  • Kanada (Zentral)

  • Europa (Frankfurt)

  • Europa (Irland)

  • Europa (London)

  • Europa (Paris)

  • Europa (Stockholm)

  • Naher Osten (Bahrain)

  • Südamerika (São Paulo)

  • China (Peking)

  • China (Ningxia)

  • AWS GovCloud (USA Ost)

  • AWS GovCloud (US-West)

Erstellen eines Schnittstellen-VPC-Endpunkts für Amazon RDS

Sie können einen VPC-Endpunkt für die Amazon RDS-API mithilfe der Amazon VPC-Konsole oder der AWS Command Line Interface (AWS CLI) erstellen. Weitere Informationen finden Sie unter Erstellung eines Schnittstellenendpunkts im Amazon VPC Benutzerhandbuch.

Erstellen Sie einen VPC-Endpunkt für Amazon RDS unter Verwendung des Servicenamens com.amazonaws.region.rds.

Wenn Sie einen privaten DNS für den Endpunkt aktivieren, können Sie mit dem VPC-Endpunkt mittels seines standardmäßigen DNS-Namens, beispielsweise rds.us-east-1.amazonaws.com, für die AWS-Region API-Anforderungen an Amazon RDS senden. Dies gilt nicht für AWS-Regionen in China. Für die AWS-Regionen China (Peking) und China (Ningxia) können Sie API-Anforderungen mit dem VPC-Endpunkt mittels rds-api.cn-north-1.amazonaws.com.cn bzw. rds-api.cn-northwest-1.amazonaws.com.cn senden.

Weitere Informationen finden Sie unter Zugriff auf einen Service über einen Schnittstellenendpunkt im Amazon VPC Benutzerhandbuch.

Erstellen einer VPC-Endpunktrichtlinie für Amazon RDS

Sie können eine Endpunktrichtlinie an Ihren VPC-Endpunkt anhängen, der den Zugriff auf Amazon RDS steuert. Die Richtlinie gibt die folgenden Informationen an:

  • Prinzipal, der die Aktionen ausführen kann

  • Die Aktionen, die ausgeführt werden können.

  • Die Ressourcen, für die Aktionen ausgeführt werden können.

Weitere Informationen finden Sie unter Steuerung des Zugriffs auf Services mit VPC-Endpunkten im Amazon VPC Benutzerhandbuch.

Beispiel: VPC-Endpunktrichtlinie für Amazon RDS-Aktionen

Im Folgenden finden Sie ein Beispiel für eine Endpunktrichtlinie für Amazon RDS. Wenn diese Richtlinie an einen Endpunkt angefügt wird, gewährt sie Zugriff auf die aufgelisteten Amazon RDS-Aktionen für alle Prinzipale auf allen Ressourcen.

{ "Statement":[ { "Principal":"*", "Effect":"Allow", "Action":[ "rds:CreateDBInstance", "rds:ModifyDBInstance", "rds:CreateDBSnapshot" ], "Resource":"*" } ] }

VPC-Endpunkt-Richtlinie, die den gesamten Zugriff über ein angegebenes AWS-Konto verweigert

Die folgende VPC-Endpunktrichtlinie verweigert dem AWS-Konto 123456789012 jeglichen Zugriff auf Ressourcen, die den Endpunkt verwenden. Die Richtlinie erlaubt alle Aktionen von anderen Konten.

{ "Statement": [ { "Action": "*", "Effect": "Allow", "Resource": "*", "Principal": "*" }, { "Action": "*", "Effect": "Deny", "Resource": "*", "Principal": { "AWS": [ "123456789012" ] } ] }