本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
搭配使用 Amazon Kinesis Data Streams 和介面 VPC 端點
您可以使用介面 VPC 端點,防止 Amazon VPC 和 Kinesis Data Streams 之間的流量離開 Amazon 網路。介面 VPC 端點不需要網際網路閘道、NAT 裝置、VPN 連線或 AWS Direct Connect 連線。介面虛擬私人雲端端點採用這項 AWS 技術 AWS PrivateLink,可透過 elastic network interface 與 Amazon VPC 中的私有 IP,在 AWS 服務之間進行私有通訊。如需詳細資訊,請參閱 Amazon Virtual Private Cloud 端和介面 VPC 私有雲端節點 (AWS PrivateLink)。
主題
搭配使用介面 VPC 端點和 Kinesis Data Streams
若要開始使用,您不必變更串流、生產者或消費者的設定;只需建立一個可讓您的 Kinesis Data Streams 流量往返 Amazon VPC 資源的介面 VPC 端點,便可透過該介面 VPC 端點作業開始傳輸。如需詳細資訊,請參閱建立界面端點。
Kinesis 生產者程式庫 (KPL) 和 Kinesis 取用者程式庫 (KCL) 呼叫 AWS 服務,例如 Amazon CloudWatch 和 Amazon DynamoDB,可使用公有端點或私有介面 VPC 端點 (以使用中為準)。例如,若您的 KCL 應用程式在已啟用 DynamoDB 介面 VPC 端點的 VPC 中執行,則 DynamoDB 與您的 KCL 應用程式之間的呼叫將流經該介面 VPC 端點。
控制 Kinesis Data Streams 之 VPCE 端點的存取權
VPC 端點政策可讓您控制存取,方法是透過將政策連接到 VPC 端點,或使用附加到 IAM 使用者、群組或角色之政策中的其他欄位,限制只能透過指定的 VPC 端點來進行存取。這些政策與 IAM 政策搭配使用時,可以僅授與透過指定的 VPC 端點對 Kinesis 資料串流動作進行存取,用以將特定串流的存取權限制在指定的 VPC 端點。
以下是存取 Kinesis 資料串流的範例端點政策。
-
VPC 政策範例:唯讀存取 – 此範例政策可連接到 VPC 端點。(如需詳細資訊,請參閱 控制 Amazon VPC 資源的存取)。它會將動作限制為僅能透過其連接的 VPC 端點列出和描述 Kinesis 資料串流。
{ "Statement": [ { "Sid": "ReadOnly", "Principal": "*", "Action": [ "kinesis:List*", "kinesis:Describe*" ], "Effect": "Allow", "Resource": "*" } ] }
-
VPC 政策範例:限制對特定 Kinesis 資料串流的存取 – 此範例政策可連接到 VPC 端點。它會限制僅能透過其所連接的 VPC 端點存取特定資料串流。
{ "Statement": [ { "Sid": "AccessToSpecificDataStream", "Principal": "*", "Action": "kinesis:*", "Effect": "Allow", "Resource": "arn:aws:kinesis:us-east-1:123456789012:stream/MyStream" } ] }
-
IAM 政策範例:限制僅從特定 VPC 端點存取特定串流 – 此範例政策可連接到 IAM 使用者、角色或群組。它會限制僅從指定的 VPC 端點對指定的 Kinesis 資料串流進行存取。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AccessFromSpecificEndpoint", "Action": "kinesis:*", "Effect": "Deny", "Resource": "arn:aws:kinesis:us-east-1:123456789012:stream/MyStream", "Condition": { "StringNotEquals" : { "aws:sourceVpce": "vpce-11aa22bb" } } } ] }
Kinesis Data Streams 之 VPC 端點政策的可用性
下列區域支援 Kinesis Data Streams 介面 VPC 端點與政策:
-
Europe (Paris)
-
歐洲 (愛爾蘭)
-
美國東部 (維吉尼亞北部)
-
歐洲 (斯德哥爾摩)
-
美國東部 (俄亥俄)
-
歐洲 (法蘭克福)
-
南美洲 (聖保羅)
-
歐洲 (倫敦)
-
亞太區域 (東京)
-
美國西部 (加利佛尼亞北部)
-
亞太區域 (新加坡)
-
亞太區域 (雪梨)
-
中國 (北京)
-
中國 (寧夏)
-
亞太區域 (香港)
-
Middle East (Bahrain)
-
中東 (阿拉伯聯合大公國)
-
歐洲 (米蘭)
-
非洲 (開普敦)
-
亞太區域 (孟買)
-
亞太區域 (首爾)
-
加拿大 (中部)
-
美國西部 (奧勒岡),usw2-az4 除外
-
AWS GovCloud (美國東部)
-
AWS GovCloud (美國西部)
-
亞太區域 (大阪)
-
歐洲 (蘇黎世)
-
亞太區域 (海德拉巴)