ElastiCache API和接口VPC端点 (Amazon PrivateLink) - Amazon ElastiCache
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

ElastiCache API和接口VPC端点 (Amazon PrivateLink)

您可以通过创建接口终端节点在您的终端节点VPC和 Amazon ElastiCache API 终端VPC节点之间建立私有连接。接口端点由提供支持Amazon PrivateLink。 Amazon PrivateLink 允许您在没有互联网网关、NAT设备、连接或 Di Amazon rect Connect VPN 连接的情况下以私密方式访问亚马逊的 ElastiCache API业务。

您中的实例VPC不需要公有 IP 地址即可与 Amazon ElastiCache API 终端节点通信。您的实例也不需要公有 IP 地址即可使用任何可用 ElastiCache API操作。您VPC和亚马逊之间的流量 ElastiCache 不会离开亚马逊网络。每个接口端点均由子网中的一个或多个弹性网络接口表示。有关弹性网络接口的更多信息,请参阅 Amazon EC2 用户指南中的弹性网络接口

创建接口VPC终端节点后,如果您为该终端节点启用私有DNS主机名,则为默认终 ElastiCache 端节点 (https://elasticache. Region.amazonaws.com) 解析到您的终端节点。VPC如果您不启用私有DNS主机名,Amazon 会VPC提供一个DNS终端节点名称,您可以按以下格式使用该名称:

VPC_Endpoint_ID.elasticache.Region.vpce.amazonaws.com

有关更多信息,请参阅 Amazon VPC 用户指南中的接口VPC终端节点 (Amazon PrivateLink)。 ElastiCache 支持调用你内部的所有API操作VPC。

注意

只能为中的一个VPC端点启用私有DNS主机名。VPC如果要创建其他VPC端点,则应为其禁用私有DNS主机名。

在为亚马逊终端节点设置接口VPC终 ElastiCache API端节点之前,请务必查看亚马逊VPC用户指南中的接口终端节点属性和限制。与管理 Amazon ElastiCache 资源相关的所有 ElastiCache API操作均可VPC通过您使用 Amazon PrivateLink。

VPC终端节点支持 ElastiCache API端点策略。默认情况下,允许通过终端节点对 ElastiCache API操作进行完全访问。有关更多信息,请参阅 Amazon VPC 用户指南中的使用VPC终端节点控制对服务的访问

您可以使用亚马逊VPC控制台或为亚马逊 ElastiCache API创建VPC终端节点 Amazon CLI。有关更多信息,请参阅 Amazon VPC 用户指南中的创建接口终端节点

创建接口VPC终端节点后,您可以为该终端节点启用私有DNS主机名。当你这样做时,使用默认的亚马逊 ElastiCache 终端节点 (https://elasticache。 Region.amazonaws.com) 解析到您的终端节点。VPC对于中国(北京)和中国(宁夏 Amazon )区域,您可以使用北京elasticache.cn-northwest-1.amazonaws.com.cn和宁夏VPC的elasticache.cn-north-1.amazonaws.com.cn终端节点API发出请求。有关更多信息,请参阅 Amazon VPC 用户指南中的通过接口终端节点访问服务

您可以将终端节点策略附加到您的VPC终端节点,以控制对的访问权限 ElastiCache API。此策略指定以下内容:

  • 可执行操作的主体。

  • 可执行的操作。

  • 可对其执行操作的资源。

有关更多信息,请参阅 Amazon VPC 用户指南中的使用VPC终端节点控制对服务的访问

例 VPC使用 Valkey 或 ElastiCache API Redis 进行操作的终端节点策略 OSS

以下是的终端节点策略示例 ElastiCache API。当附加到端点时,此策略会向所有资源上的所有主体授予对列出的 ElastiCache API 操作的访问权限。

{ "Statement": [{ "Principal": "*", "Effect": "Allow", "Action": [ "elasticache:CreateCacheCluster", "elasticache:ModifyCacheCluster", "elasticache:CreateSnapshot" ], "Resource": "*" }] }
例 VPCMemcach API ed ElastiCache 操作的终端节点策略

以下是的终端节点策略示例 ElastiCache API。当附加到端点时,此策略会向所有资源上的所有主体授予对列出的 ElastiCache API 操作的访问权限。

{ "Statement": [{ "Principal": "*", "Effect": "Allow", "Action": [ "elasticache:CreateCacheCluster", "elasticache:ModifyCacheCluster" ], "Resource": "*" }] }
例 VPC终端节点策略拒绝来自指定 Amazon 账户的所有访问权限

以下VPC端点策略拒绝 Amazon 账户使用该终端节点访问123456789012所有资源。此策略允许来自其他账户的所有操作。

{ "Statement": [{ "Action": "*", "Effect": "Allow", "Resource": "*", "Principal": "*" }, { "Action": "*", "Effect": "Deny", "Resource": "*", "Principal": { "AWS": [ "123456789012" ] } } ] }