AWS::KinesisFirehose::DeliveryStream VpcConfiguration - AWS CloudFormation
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

AWS::KinesisFirehose::DeliveryStream VpcConfiguration

Amazon ES 目标的 VPC 的详细信息。

语法

要在 AWS CloudFormation 模板中声明此实体,请使用以下语法:

JSON

{ "RoleARN" : String, "SecurityGroupIds" : [ String, ... ], "SubnetIds" : [ String, ... ] }

YAML

RoleARN: String SecurityGroupIds: - String SubnetIds: - String

属性

RoleARN

您希望传输流在目标 VPC 中创建终端节点所用 IAM 角色的 ARN。您可以使用现有的 Kinesis Data Firehose 传输角色,也可以指定新角色。在任何一种情况下,请确保该角色信任 Kinesis Data Firehose 委托人并授予以下权限:

  • ec2:DescribeVpcs

  • ec2:DescribeVpcAttribute

  • ec2:DescribeSubnets

  • ec2:DescribeSecurityGroups

  • ec2:DescribeNetworkInterfaces

  • ec2:CreateNetworkInterface

  • ec2:CreateNetworkInterfacePermission

  • ec2:DeleteNetworkInterface

如果您在创建传输流后撤销这些权限,则 Kinesis Data Firehose 无法在必要时通过创建更多 ENI 进行扩展。因此,您可能会看到性能下降。

必需:是

类型:字符串

Update requires: Replacement

SecurityGroupIds

安全组的 ID,这是您希望 Kinesis Data Firehose 在 Amazon ES 目标的 VPC 中创建 ENIS 时使用的安全组。您可以使用与 Amazon ES 域相同的安全组或其他安全组。如果在此处指定了不同的安全组,请确保这些安全组允许到 Amazon ES 域的安全组的出站 HTTPS 流量。还要确保 Amazon ES 域的安全组允许来自此处指定的安全组的 HTTPS 流量。如果您对传输流和 Amazon ES 域使用相同的安全组,请确保安全组入站规则允许 HTTPS 流量。

必需:是

类型:字符串列表

Update requires: Replacement

SubnetIds

子网的 ID,这是 Kinesis Data Firehose 在 Amazon ES 目标的 VPC 中创建 ENI 时使用的子网。确保路由表以及入站和出站规则允许流量从此处指定 ID 的子网,流向具有目标 Amazon ES 终端节点的子网。Kinesis Data Firehose 在此处指定的每个子网中至少创建一个 ENI。请勿删除或修改这些 ENI。

Kinesis Data Firehose 在此处指定的子网中创建的 ENI 数量,将根据吞吐量自动扩展和减少。要使 Kinesis Data Firehose 能够扩展 ENI 的数量以匹配吞吐量,请确保您有足够的配额。为了帮助您计算所需的配额,假设 Kinesis Data Firehose 可以为此处指定的每个子网的传输流创建最多三个 ENI。

必需:是

类型:字符串列表

Update requires: Replacement