将 Amazon Kinesis Data Streams 与接口 VPC 端点结合使用 - Amazon Kinesis Data Streams
针对 Kinesis Data Streams 使用接口 VPC 端点控制对适用于 Kinesis Data Streams 的 VPCE 端点的访问适用于 Kinesis Data Streams 的 VPC 端点策略的可用性

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

将 Amazon Kinesis Data Streams 与接口 VPC 端点结合使用

您可以使用接口 VPC 端点,以防止 Amazon VPC 和 Kinesis Data Streams 之间的流量离开 Amazon 网络。接口 VPC 终端节点不需要互联网网关、NAT 设备、VPN 连接或 AWS Direct Connect 连接。接口 VPC 终端节点由一项 AWS 技术提供支持 AWS PrivateLink,该技术允许使用弹性网络接口在 AWS 服务之间进行私密通信,并使用您的 Amazon VPC 中的私有 IP。有关更多信息,请参阅亚马逊 Virtual Private Cloud接口 VPC 终端节点 (AWS PrivateLink)

针对 Kinesis Data Streams 使用接口 VPC 端点

要开始使用,您不需要更改流、创建者或用户的设置。只需创建一个接口 VPC 端点以使您的 Kinesis Data Streams 流量进出 Amazon VPC 资源,从而开始流过接口 VPC 端点。有关更多信息,请参阅创建接口端点

Kinesis Producer 库 (KPL) 和 Kinesis 消费者库 (KCL) 使用公共终端节点或私有接口 VPC 终端节点(以使用者为准)调用 AWS 亚马逊和亚马逊 CloudWatch DynamoDB 等服务。例如,如果您的 KCL 应用程序在带有启用了 VPC 端点的 DynamoDB 接口的 VPC 中运行,则 DynamoDB 和您的 KCL 应用程序流之间的调用会流过接口 VPC 端点。

控制对适用于 Kinesis Data Streams 的 VPCE 端点的访问

借助 VPC 端点策略,您可以控制访问,其方式是:将策略附加到 VPC 端点或使用附加到 IAM 用户、组或角色的策略中的额外字段,从而限制只能通过特定 VPC 端点进行访问。这些策略可用于限制对特定流的访问、当与 IAM policy 共同使用时对特定 VPC 端点的访问,以及只能通过特定 VPC 端点对 Kinesis 数据流进行授权访问。

以下是用于访问 Kinesis 数据流的示例端点策略。

  • VPC 策略示例:只读访问 – 此示例策略可以附加到 VPC 端点。(有关更多信息,请参阅控制对 Amazon VPC 资源的访问)。它限制仅能通过其附加的 VPC 端点列出或描述 Kinesis 数据流。

    
{
  "Statement": [
    {
      "Sid": "ReadOnly",
      "Principal": "*",
      "Action": [
        "kinesis:List*",
        "kinesis:Describe*"
      ],
      "Effect": "Allow",
      "Resource": "*"
    }
  ]
}

  • VPC 策略示例:限制对特定 Kinesis 数据流的访问 – 此示例策略可以附加到 VPC 端点。它限制通过其附加的 VPC 端点访问特定的数据流。

    
{
  "Statement": [
    {
      "Sid": "AccessToSpecificDataStream",
      "Principal": "*",
      "Action": "kinesis:*",
      "Effect": "Allow",
      "Resource": "arn:aws:kinesis:us-east-1:123456789012:stream/MyStream"
    }
  ]
}

  • IAM policy 示例:限制只能通过特定的 VPC 端点访问特定流 – 此示例策略可以附加到 IAM 用户、角色或组。它限制只能通过特定的 VPC 端点访问特定的 Kinesis 数据流。

    
{
   "Version": "2012-10-17",
   "Statement": [
      {
         "Sid": "AccessFromSpecificEndpoint",
         "Action": "kinesis:*",
         "Effect": "Deny",
         "Resource": "arn:aws:kinesis:us-east-1:123456789012:stream/MyStream",
         "Condition": { "StringNotEquals" : { "aws:sourceVpce": "vpce-11aa22bb" } }
      }
   ]
}

适用于 Kinesis Data Streams 的 VPC 端点策略的可用性

以下地区支持 Kinesis Data Streams 接口带有策略的 VPC 端点:

  • 欧洲地区(巴黎)

  • 欧洲地区(爱尔兰)

  • 美国东部(弗吉尼亚州北部)

  • 欧洲地区(斯德哥尔摩)

  • 美国东部(俄亥俄州)

  • 欧洲地区(法兰克福)

  • South America(São Paulo)

  • 欧洲地区(伦敦)

  • 亚太地区(东京)

  • 美国西部(北加利福尼亚)

  • 亚太地区(新加坡)

  • 亚太地区(悉尼)

  • 中国(北京)

  • 中国(宁夏)

  • 亚太地区(香港)

  • 中东(巴林)

  • 中东(阿联酋)

  • 欧洲地区(米兰)

  • 非洲(开普敦)

  • 亚太地区(孟买)

  • 亚太地区(首尔)

  • 加拿大(中部)

  • 美国西部(俄勒冈州)(usw2-az4 除外)

  • AWS GovCloud (美国东部)

  • AWS GovCloud (美国西部)

  • 亚太地区(大阪)

  • 欧洲(苏黎世)

  • 亚太地区(海得拉巴)