ElastiCache API 和接口 VPC 终端节点 (Amazon PrivateLink) - Amazon ElastiCache
VPC 端点注意事项为 ElastiCache API 创建接口 VPC 终端节点为亚马逊 ElastiCache API 创建 VPC 终端节点策略
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

ElastiCache API 和接口 VPC 终端节点 (Amazon PrivateLink)

您可以通过创建接口 VPC 终端节点在您的 VPC 和 Amazon ElastiCache API 终端节点之间建立私有连接。接口端点由提供支持Amazon PrivateLink。 Amazon PrivateLink 允许您在没有互联网网关、NAT 设备、VPN 连接或 Di Amazon rect Connect 连接的情况下私密访问 Amazon ElastiCache API 操作。

您的 VPC 中的实例不需要公有 IP 地址即可与 Amazon ElastiCache API 终端节点通信。您的实例也不需要公有 IP 地址即可使用任何可用的 ElastiCache API 操作。您的 VPC 和亚马逊之间的流量 ElastiCache 不会离开亚马逊网络。每个接口端点均由子网中的一个或多个弹性网络接口表示。有关弹性网络接口的更多信息,请参阅 Amazon EC2 用户指南中的弹性网络接口

创建接口 VPC 终端节点后,如果您为终端节点启用私有 DNS 主机名,则为默认终 ElastiCache 端节点 (https://elasticache。 Region.amazonaws.com) 解析到您的 VPC 终端节点。如果您尚未启用私有 DNS 主机名,则 Amazon VPC 将提供一个您可以使用的 DNS 端点名称,格式如下:

VPC_Endpoint_ID.elasticache.Region.vpce.amazonaws.com

有关更多信息,请参阅 Amazon VPC 用户指南中的接口 VPC 终端节点 (Amazon PrivateLink)。 ElastiCache 支持在您的 VPC 内调用其所有 API 操作

注意

  • Privatelink VPC 终端节点目前 ElastiCache 在以下区域可用:AF-SOUTH-1、AP-EAST-1、AP-NORTHEAST-1、AP-NORTHEAST-2、AP-NORTHEAST-3、AP-SOUTH-1、AP-SOUTH-2 AP-SOUTHEAST-1 AP-SOUTHEAST-2、、AP-SOUTHEAST-3 CA-CENTRAL-1 CN-NORTH-1 CN-NORTHWEST-1、、、、WEST-1、US-EAST-1、US-EAST-1、US-EAST-1、US-EAST-1、US-EAST-2、US-EAST-2、US-WEST-1、US-WEST-1 和 US-WEST-2。EU-CENTRAL-1 EU-NORTH-1 EU-SOUTH-1 EU-WEST-1 EU-WEST-2 EU-WEST-3 ME-SOUTH-1

  • 只能为 VPC 中的一个 VPC 端点启用私有 DNS 主机名。如果要创建额外的 VPC 端点,则应为其禁用私有 DNS 主机名。

在为 Amazon ElastiCache API 终端节点设置接口 VPC 终端节点之前,请务必查看亚马逊 VPC 用户指南中的接口终端节点属性和限制。所有与管理 Amazon ElastiCache 资源相关的 ElastiCache API 操作均可通过您的 VPC 使用 Amazon PrivateLink。

ElastiCache API 终端节点支持 VPC 终端节点策略。默认情况下,允许通过终端节点对 ElastiCache API 操作进行完全访问。有关更多信息,请参阅《Amazon VPC User Guide》中的 Controlling access to services with VPC endpoints

您可以使用亚马逊 VPC 控制台或,为亚马逊 ElastiCache API 创建 VPC 终端节点 Amazon CLI。有关更多信息,请参阅《Amazon VPC User Guide》中的 Creating an interface endpoint

在创建接口 VPC 端点后,您可以为端点启用私有 DNS 主机名。当你这样做时,使用默认的亚马逊 ElastiCache 终端节点 (https://elasticache。 Region.amazonaws.com) 解析到您的 VPC 终端节点。对于中国(北京)和中国(宁夏 Amazon )区域,您可以使用北京elasticache.cn-northwest-1.amazonaws.com.cn和宁夏的 VPC 终端节点发出 elasticache.cn-north-1.amazonaws.com.cn API 请求。有关更多信息,请参阅《Amazon VPC 用户指南》中的通过接口端点访问服务

您可以将终端节点策略附加到控制对 ElastiCache API 的访问的 VPC 终端节点。此策略指定以下内容:

  • 可执行操作的主体。

  • 可执行的操作。

  • 可对其执行操作的资源。

有关更多信息,请参阅《Amazon VPC 用户指南》中的使用 VPC 端点控制对服务的访问

例 适用于使用 Valkey 或 Redis OSS ElastiCache 的 API 操作的 VPC 终端节点策略

以下是 ElastiCache API 的终端节点策略示例。当连接到终端节点时,此策略向所有委托人授予对所有资源上列出的 ElastiCache API 操作的访问权限。

{
	"Statement": [{
		"Principal": "*",
		"Effect": "Allow",
		"Action": [
			"elasticache:CreateCacheCluster",
			"elasticache:ModifyCacheCluster",
			"elasticache:CreateSnapshot"
		],
		"Resource": "*"
	}]
}
例 适用于 Memcached API ElastiCache 操作的 VPC 终端节点策略

以下是 ElastiCache API 的终端节点策略示例。当连接到终端节点时,此策略向所有委托人授予对所有资源上列出的 ElastiCache API 操作的访问权限。

{
	"Statement": [{
		"Principal": "*",
		"Effect": "Allow",
		"Action": [
			"elasticache:CreateCacheCluster",
			"elasticache:ModifyCacheCluster"			
		],
		"Resource": "*"
	}]
}
例 拒绝来自指定 Amazon 账户的所有访问的 VPC 终端节点策略

以下 VPC 终端节点策略拒绝 Amazon 账户使用该终端节点访问123456789012所有资源。此策略允许来自其他账户的所有操作。

{
	"Statement": [{
			"Action": "*",
			"Effect": "Allow",
			"Resource": "*",
			"Principal": "*"
		},
		{
			"Action": "*",
			"Effect": "Deny",
			"Resource": "*",
			"Principal": {
				"AWS": [
					"123456789012"
				]
			}
		}
	]
}