ElastiCache API 和接口 VPC 端点(Amazon PrivateLink)
您可以通过创建接口 VPC 端点在 VPC 和 Amazon ElastiCache API 端点之间建立私有连接。接口端点由 Amazon PrivateLink
VPC 中的实例不需要公有 IP 地址便可与 Amazon ElastiCache API 端点进行通信。您的实例也不需要公有 IP 地址即可使用任何可用的 ElastiCache API 操作。您的 VPC 和 Amazon ElastiCache 之间的流量不会脱离 Amazon 网络。每个接口终端节点均由子网中的一个或多个弹性网络接口表示。有关弹性网络接口的更多信息,请参阅《Amazon EC2 用户指南》中的弹性网络接口。
-
有关 VPC 终端节点的更多信息,请参阅 Amazon VPC 用户指南中的接口 VPC 终端节点(Amazon PrivateLink)。
-
有关 ElastiCache API 操作的更多信息,请参阅 ElastiCache API 操作。
在创建接口 VPC 端点后,如果您为端点启用私有 DNS 主机名,则默认 ElastiCache 端点(https://elasticache.Region.amazonaws.com)将解析为您的 VPC 端点。如果您尚未启用私有 DNS 主机名,则 Amazon VPC 将提供一个您可以使用的 DNS 端点名称,格式如下:
VPC_Endpoint_ID.elasticache.Region.vpce.amazonaws.com
有关更多信息,请参阅《Amazon VPC 用户指南》中的接口 VPC 终端节点(Amazon PrivateLink)。ElastiCache 支持调用您的 VPC 中的所有 API 操作。
注意
只能为 VPC 中的一个 VPC 端点启用私有 DNS 主机名。如果要创建额外的 VPC 端点,则应为该端点禁用私有 DNS 主机名。
| 代码 | 位置 | 区域 |
|---|---|---|
|
CPT |
非洲(开普敦) |
AF-SOUTH-1 |
|
HKG |
亚太地区(香港) |
AP-EAST-1 |
|
TPE |
亚太地区(台北) |
AP-EAST-2 |
|
NRT |
亚太地区(东京) |
AP-NORTHEAST-1 |
|
ICN |
亚太地区(首尔) |
AP-NORTHEAST-2 |
|
KIX |
亚太地区(大阪) |
AP-NORTHEAST-3 |
|
BOM |
亚太地区(孟买) |
AP-SOUTH-1 |
|
HYD |
亚太地区(海得拉巴) |
AP-SOUTH-2 |
|
SIN |
亚太地区(新加坡) |
AP-SOUTHEAST-1 |
|
SYD |
亚太地区(悉尼) |
AP-SOUTHEAST-2 |
|
CGK |
亚太地区(雅加达) |
AP-SOUTHEAST-3 |
|
MEL |
亚太地区(墨尔本) |
AP-SOUTHEAST-4 |
|
KUL |
亚太地区(马来西亚) |
AP-SOUTHEAST-5 |
|
BKK |
亚太地区(泰国) |
AP-SOUTHEAST-7 |
|
YUL |
加拿大(中部) |
CA-CENTRAL-1 |
|
YYC |
加拿大西部(卡尔加里) |
CA-WEST-1 |
|
BJS |
中国(北京) |
CN-NORTH-1 |
|
ZHY |
中国(宁夏) |
CN-NORTHWEST-1 |
|
FRA |
欧洲地区(法兰克福) |
EU-CENTRAL-1 |
|
ZRH |
欧洲(苏黎世) |
EU-CENTRAL-2 |
|
ARN |
欧洲地区(斯德哥尔摩) |
EU-NORTH-1 |
|
MXP |
欧洲(米兰) |
EU-SOUTH-1 |
|
ZAZ |
欧洲(西班牙) |
EU-SOUTH-2 |
|
DUB |
欧洲地区(爱尔兰) |
EU-WEST-1 |
|
LHR |
欧洲(伦敦) |
EU-WEST-2 |
|
CDG |
欧洲(巴黎) |
EU-WEST-3 |
|
TLV |
以色列(特拉维夫) |
IL-CENTRAL-1 |
|
DXB |
中东(阿联酋) |
ME-CENTRAL-1 |
|
BAH |
中东(巴林) |
ME-SOUTH-1 |
|
QRO |
墨西哥(中部) |
MX-CENTRAL-1 |
|
GRU |
南美洲(圣保罗) |
SA-EAST-1 |
|
IAD |
美国东部(弗吉尼亚州北部) |
US-EAST-1 |
|
CMH |
美国东部(俄亥俄州) |
US-EAST-2 |
|
OSU |
Amazon GovCloud(美国东部) |
US-GOV-EAST-1 |
|
SFO |
美国西部(加利福尼亚北部) |
US-WEST-1 |
|
PDX |
美国西部(俄勒冈州) |
US-WEST-2 |
|
PDT |
Amazon GovCloud(美国西部) |
US-WEST-1 |
VPC 端点注意事项
在为 Amazon ElastiCache API 端点设置接口 VPC 端点之前,请务必查看 Amazon VPC 用户指南中的接口端点属性和限制。可以从使用 Amazon PrivateLink 的 VPC 中获取与管理 Amazon ElastiCache 资源相关的所有 ElastiCache API 操作。
ElastiCache API 端点支持 VPC 端点策略。默认情况下,允许通过端点对 ElastiCache API 操作进行完全访问。有关更多信息,请参阅《Amazon VPC 用户指南》中的使用 VPC 端点控制对服务的访问。
为 ElastiCache API 创建接口 VPC 端点
您可以使用 Amazon VPC 控制台或 Amazon CLI 为 Amazon ElastiCache API 创建 VPC 端点。有关更多信息,请参阅《Amazon VPC User Guide》中的 Creating an interface endpoint。
在创建接口 VPC 端点后,您可以为端点启用私有 DNS 主机名。当您执行此操作时,默认的 Amazon ElastiCache 端点(https://elasticache.Region.amazonaws.com)将解析为您的 VPC 端点。对于中国(北京)和中国(宁夏)Amazon 区域,您可以通过 VPC 端点分别使用 elasticache.cn-north-1.amazonaws.com.cn(对于北京)和 elasticache.cn-northwest-1.amazonaws.com.cn(对于宁夏)发出 API 请求。有关更多信息,请参阅《Amazon VPC 用户指南》中的通过接口端点访问服务。
为 Amazon ElastiCache API 创建 VPC 端点策略
您可以为 VPC 端点附加控制对 ElastiCache API 的访问的端点策略。此策略指定以下内容:
-
可执行操作的主体。
-
可执行的操作。
-
可对其执行操作的资源。
有关更多信息,请参阅《Amazon VPC 用户指南》中的使用 VPC 端点控制对服务的访问。
例 用于 ElastiCache(兼容 Valkey 或 Redis OSS)API 的 VPC 端点策略
下面是用于 ElastiCache API 的端点策略示例。当附加到端点时,此策略会向所有委托人授予对列出的针对所有资源的 ElastiCache API 操作的访问权限。
{ "Statement": [{ "Principal": "*", "Effect": "Allow", "Action": [ "elasticache:CreateCacheCluster", "elasticache:ModifyCacheCluster", "elasticache:CreateSnapshot" ], "Resource": "*" }] }
例 用于 ElastiCache for Memcached API 操作的 VPC 端点策略
下面是用于 ElastiCache API 的端点策略示例。当附加到端点时,此策略会向所有委托人授予对列出的针对所有资源的 ElastiCache API 操作的访问权限。
{ "Statement": [{ "Principal": "*", "Effect": "Allow", "Action": [ "elasticache:CreateCacheCluster", "elasticache:ModifyCacheCluster" ], "Resource": "*" }] }
例 拒绝来自指定 Amazon 账户的所有访问的 VPC 端点策略
以下 VPC 终端节点策略拒绝 Amazon 账户 123456789012 所有使用终端节点访问资源的权限。此策略允许来自其他账户的所有操作。
{ "Statement": [{ "Action": "*", "Effect": "Allow", "Resource": "*", "Principal": "*" }, { "Action": "*", "Effect": "Deny", "Resource": "*", "Principal": { "AWS": [ "123456789012" ] } } ] }