Amazon RDS API 和界面 VPC 端點 (AWS PrivateLink) - Amazon Relational Database Service
考量可用性建立介面 VPC 端點建立 VPC 端點政策

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Amazon RDS API 和界面 VPC 端點 (AWS PrivateLink)

您可以建立界面 VPC 端點,以在您的 VPC 與 Amazon RDS API 端點之間建立私有連線。界面端點是採用 AWS PrivateLink 技術。

AWS PrivateLink 可讓您以私有方式存取 Amazon RDS API 操作,無需透過網際網路閘道、NAT 裝置、VPN 連線或 AWS Direct Connect 連線。VPC 中的資料庫執行個體不需要公有 IP 地址,就能與 Amazon RDS API 端點進行通訊,以啟動、修改或終止資料庫執行個體。您的資料庫執行個體也不需要公有 IP 地址,就能使用任何可用的 RDS API 操作。您的 VPC 與 Amazon RDS 之間的流量,都會在 Amazon 網路的範圍內。

每個界面端點都是由您子網路中的一或多個彈性網路界面表示。如需彈性網路界面的詳細資訊,請參閱 Amazon EC2 使用者指南中的彈性網路界面

如需 VPC 端點的詳細資訊,請參閱《Amazon VPC 使用者指南》中的介面 VPC 端點 (AWS PrivateLink)。如需 RDS API 操作的資訊,請參閱 Amazon RDS API 參考

您連線至資料庫執行個體時不需要界面 VPC 端點。如需詳細資訊,請參閱在 VPC 中存取資料庫執行個體的案例

VPC 端點的考量事項

在設定 Amazon RDS API 端點的界面 VPC 端點前,請務必檢閱《Amazon VPC 使用者指南》中的界面端點屬性和限制

所有與管理 Amazon RDS 資源相關的 RDS API 操作都從使用 AWS PrivateLink 的 VPC 提供。

RDS API 端點支援 VPC 端點政策。根據預設,允許透過端點對 RDS API 操作進行完整存取。如需詳細資訊,請參閱《Amazon VPC 使用者指南》中的使用 VPC 端點控制對服務的存取

可用性

Amazon RDS API 目前在下列 AWS 區域支援 VPC 端點:

  • 美國東部 (俄亥俄)

  • 美國東部 (維吉尼亞北部)

  • 美國西部 (加利佛尼亞北部)

  • 美國西部 (奧勒岡)

  • 非洲 (開普敦)

  • 亞太區域 (香港)

  • 亞太區域 (孟買)

  • 亞太區域 (大阪)

  • 亞太區域 (首爾)

  • 亞太區域 (新加坡)

  • 亞太區域 (雪梨)

  • 亞太區域 (東京)

  • 加拿大 (中部)

  • 加拿大西部 (卡加利)

  • 中國 (北京)

  • 中國 (寧夏)

  • 歐洲 (法蘭克福)

  • 歐洲 (蘇黎世)

  • 歐洲 (愛爾蘭)

  • 歐洲 (倫敦)

  • 歐洲 (巴黎)

  • 歐洲 (斯德哥爾摩)

  • 歐洲 (米蘭)

  • 以色列 (特拉維夫)

  • Middle East (Bahrain)

  • 南美洲 (聖保羅)

  • AWS GovCloud (美國東部)

  • AWS GovCloud (美國西部)

為 Amazon RDS API 建立界面 VPC 端點

您可使用 Amazon VPC 主控台或 AWS Command Line Interface (AWS CLI) 來為 Amazon RDS API 服務建立 VPC 端點。如需詳細資訊,請參閱 Amazon VPC 使用者指南中的建立介面端點

使用服務名稱 com.amazonaws.region.rds,為 Amazon RDS API 建立 VPC 端點。

(不包括中國的 AWS 區域) 如果您對該端點啟動私有 DNS,您可以使用 AWS 區域的預設 DNS 名稱,透過 VPC 端點向 Amazon RDS 發出 API 請求,例如 rds.us-east-1.amazonaws.com。對於中國 (北京) 和中國 (寧夏) AWS 區域,您可以分別使用 rds-api.cn-north-1.amazonaws.com.cnrds-api.cn-northwest-1.amazonaws.com.cn 的 VPC 端點進行 API 請求。

如需詳細資訊,請參閱《Amazon VPC 使用者指南》中的透過介面端點存取服務

為 Amazon RDS API 建立 VPC 端點政策

您可以將端點政策連接至控制 Amazon RDS API 存取權限的 VPC 端點。此政策會指定下列資訊:

  • 可執行動作的主體。

  • 可執行的動作。

  • 可供執行動作的資源。

如需詳細資訊,請參閱《Amazon VPC 使用者指南》中的使用 VPC 端點控制對服務的存取

範例:Amazon RDS API 動作的 VPC 端點政策

以下是 Amazon RDS API 端點政策的範例。連接至端點後,此政策會針對所有資源上的所有委託人,授予列出的 Amazon RDS API 動作的存取權限。

{
   "Statement":[
      {
         "Principal":"*",
         "Effect":"Allow",
         "Action":[
            "rds:CreateDBInstance",
            "rds:ModifyDBInstance",
            "rds:CreateDBSnapshot"
         ],
         "Resource":"*"
      }
   ]
}
範例:拒絕所有來自指定 AWS 帳戶之存取的 VPC 端點政策

下列 VPC 端點政策拒絕 AWS 帳戶 123456789012 對使用該端點之資源的所有存取。此政策允許來自其他帳戶的所有動作。

{
  "Statement": [
    {
      "Action": "*",
      "Effect": "Allow",
      "Resource": "*",
      "Principal": "*"
    },
    {
      "Action": "*",
      "Effect": "Deny",
      "Resource": "*",
      "Principal": {
        "AWS": [
          "123456789012"
        ]
      }
   ]
}