搭配使用 Amazon Kinesis Data Streams 和介面 VPC 端點 - Amazon Kinesis Data Streams
搭配使用介面 VPC 端點和 Kinesis Data Streams控制 Kinesis Data Streams 之 VPCE 端點的存取權Kinesis Data Streams 之 VPC 端點政策的可用性

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

搭配使用 Amazon Kinesis Data Streams 和介面 VPC 端點

您可以使用介面 VPC 端點,防止 Amazon VPC 和 Kinesis Data Streams 之間的流量離開 Amazon 網路。介面 VPC 端點不需要網際網路閘道、NAT 裝置、VPN 連線或 AWS Direct Connect 連線。介面虛擬私人雲端端點採用這項 AWS 技術 AWS PrivateLink,可透過 elastic network interface 與 Amazon VPC 中的私有 IP,在 AWS 服務之間進行私有通訊。如需詳細資訊,請參閱 Amazon Virtual Private Cloud 端和介面 VPC 私有雲端節點 (AWS PrivateLink)

搭配使用介面 VPC 端點和 Kinesis Data Streams

若要開始使用,您不必變更串流、生產者或消費者的設定;只需建立一個可讓您的 Kinesis Data Streams 流量往返 Amazon VPC 資源的介面 VPC 端點,便可透過該介面 VPC 端點作業開始傳輸。如需詳細資訊,請參閱建立界面端點

Kinesis 生產者程式庫 (KPL) 和 Kinesis 取用者程式庫 (KCL) 呼叫 AWS 服務,例如 Amazon CloudWatch 和 Amazon DynamoDB,可使用公有端點或私有介面 VPC 端點 (以使用中為準)。例如,若您的 KCL 應用程式在已啟用 DynamoDB 介面 VPC 端點的 VPC 中執行,則 DynamoDB 與您的 KCL 應用程式之間的呼叫將流經該介面 VPC 端點。

控制 Kinesis Data Streams 之 VPCE 端點的存取權

VPC 端點政策可讓您控制存取,方法是透過將政策連接到 VPC 端點,或使用附加到 IAM 使用者、群組或角色之政策中的其他欄位,限制只能透過指定的 VPC 端點來進行存取。這些政策與 IAM 政策搭配使用時,可以僅授與透過指定的 VPC 端點對 Kinesis 資料串流動作進行存取,用以將特定串流的存取權限制在指定的 VPC 端點。

以下是存取 Kinesis 資料串流的範例端點政策。

  • VPC 政策範例:唯讀存取 – 此範例政策可連接到 VPC 端點。(如需詳細資訊,請參閱 控制 Amazon VPC 資源的存取)。它會將動作限制為僅能透過其連接的 VPC 端點列出和描述 Kinesis 資料串流。

    
{
  "Statement": [
    {
      "Sid": "ReadOnly",
      "Principal": "*",
      "Action": [
        "kinesis:List*",
        "kinesis:Describe*"
      ],
      "Effect": "Allow",
      "Resource": "*"
    }
  ]
}

  • VPC 政策範例:限制對特定 Kinesis 資料串流的存取 – 此範例政策可連接到 VPC 端點。它會限制僅能透過其所連接的 VPC 端點存取特定資料串流。

    
{
  "Statement": [
    {
      "Sid": "AccessToSpecificDataStream",
      "Principal": "*",
      "Action": "kinesis:*",
      "Effect": "Allow",
      "Resource": "arn:aws:kinesis:us-east-1:123456789012:stream/MyStream"
    }
  ]
}

  • IAM 政策範例:限制僅從特定 VPC 端點存取特定串流 – 此範例政策可連接到 IAM 使用者、角色或群組。它會限制僅從指定的 VPC 端點對指定的 Kinesis 資料串流進行存取。

    
{
   "Version": "2012-10-17",
   "Statement": [
      {
         "Sid": "AccessFromSpecificEndpoint",
         "Action": "kinesis:*",
         "Effect": "Deny",
         "Resource": "arn:aws:kinesis:us-east-1:123456789012:stream/MyStream",
         "Condition": { "StringNotEquals" : { "aws:sourceVpce": "vpce-11aa22bb" } }
      }
   ]
}

Kinesis Data Streams 之 VPC 端點政策的可用性

下列區域支援 Kinesis Data Streams 介面 VPC 端點與政策:

  • Europe (Paris)

  • 歐洲 (愛爾蘭)

  • 美國東部 (維吉尼亞北部)

  • 歐洲 (斯德哥爾摩)

  • 美國東部 (俄亥俄)

  • 歐洲 (法蘭克福)

  • 南美洲 (聖保羅)

  • 歐洲 (倫敦)

  • 亞太區域 (東京)

  • 美國西部 (加利佛尼亞北部)

  • 亞太區域 (新加坡)

  • 亞太區域 (雪梨)

  • 中國 (北京)

  • 中國 (寧夏)

  • 亞太區域 (香港)

  • Middle East (Bahrain)

  • 中東 (阿拉伯聯合大公國)

  • 歐洲 (米蘭)

  • 非洲 (開普敦)

  • 亞太區域 (孟買)

  • 亞太區域 (首爾)

  • 加拿大 (中部)

  • 美國西部 (奧勒岡),usw2-az4 除外

  • AWS GovCloud (美國東部)

  • AWS GovCloud (美國西部)

  • 亞太區域 (大阪)

  • 歐洲 (蘇黎世)

  • 亞太區域 (海德拉巴)