MemoryDB API 和接口VPC端点 ()AWS PrivateLink - Amazon MemoryDB

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

MemoryDB API 和接口VPC端点 ()AWS PrivateLink

您可以通过创建接口VPC终端节点在您VPC和 Amazon MemoryDB API 终端节点之间建立私有连接。接口端点由提供支持AWS PrivateLink。 AWS PrivateLink 允许您在没有互联网网关、NAT设备、连接或 Direct C AWS onnect VPN 连接的情况下私密访问 MemoryDB API 操作。

您的中的实例VPC不需要公有 IP 地址即可与 MemoryDB API 终端节点通信。您的实例也不需要公有 IP 地址即可使用任何可用的 MemoryDB 操作API。您VPC和 MemoryDB 之间的流量不会离开亚马逊网络。每个接口端点均由子网中的一个或多个弹性网络接口表示。有关弹性网络接口的更多信息,请参阅 Amazon EC2 用户指南中的弹性网络接口

创建接口VPC终端节点后,如果您为该终端节点启用私有DNS主机名,则为默认 MemoryDB 终端节点 (https://memorydb.Region.amazonaws.com) 解析到您的终端节点。VPC如果您不启用私有DNS主机名,Amazon 会VPC提供一个DNS终端节点名称,您可以按以下格式使用该名称:

VPC_Endpoint_ID.memorydb.Region.vpce.amazonaws.com

有关更多信息,请参阅 Amazon VPC 用户指南中的接口VPC终端节点 (AWS PrivateLink)。MemoryDB 支持在你的内部调用它的所有API动作。VPC

注意

只能为中的一个VPC终端节点启用私有DNS主机名。VPC如果要创建其他VPC端点,则应为其禁用私有DNS主机名。

在为 MemoryDB VPC 终端节点设置接口API终端节点之前,请务必查看亚马逊VPC用户指南中的接口终端节点属性和限制。所有与管理 MemoryDB 资源相关的 MemoryDB API 操作均可从您的使用中获得。VPC AWS PrivateLink VPCMemoryDB API 端点支持端点策略。默认情况下,允许通过端点对 MemoryDB API 操作进行完全访问。有关更多信息,请参阅 Amazon VPC 用户指南中的使用VPC终端节点控制对服务的访问

您可以使用亚马逊VPC控制台或 MemoryDB API 创建VPC终端节点。 AWS CLI有关更多信息,请参阅 Amazon VPC 用户指南中的创建接口终端节点

创建接口VPC终端节点后,您可以为该终端节点启用私有DNS主机名。当你这样做时,默认的 MemoryDB 端点 (https://memorydb。Region.amazonaws.com) 解析到您的终端节点。VPC有关更多信息,请参阅 Amazon VPC 用户指南中的通过接口终端节点访问服务

您可以将终端节点策略附加到控制对 Memory API DB 的访问权限的VPC终端节点。此策略指定以下内容:

  • 可执行操作的主体。

  • 可执行的操作。

  • 可对其执行操作的资源。

有关更多信息,请参阅 Amazon VPC 用户指南中的使用VPC终端节点控制对服务的访问

例 VPCMemory API DB 操作的端点策略

以下是 Memory API DB 的终端节点策略示例。当连接到终端节点时,此策略向所有资源的所有委托人授予对列出的 MemoryDB API 操作的访问权限。

{ "Statement": [{ "Principal": "*", "Effect": "Allow", "Action": [ "memorydb:CreateCluster", "memorydb:UpdateCluster", "memorydb:CreateSnapshot" ], "Resource": "*" }] }
例 VPC终端节点策略拒绝来自指定 AWS 账户的所有访问权限

以下VPC终端节点策略拒绝 AWS 账号 123456789012 使用终端节点访问资源的所有权限。此策略允许来自其他账户的所有操作。

{ "Statement": [{ "Action": "*", "Effect": "Allow", "Resource": "*", "Principal": "*" }, { "Action": "*", "Effect": "Deny", "Resource": "*", "Principal": { "AWS": [ "123456789012" ] } } ] }