Amazon ElastiCache API 和接口 VPC 端点(Amazon PrivateLink) - Amazon ElastiCache
VPC 端点注意事项为 ElastiCache API 创建接口 VPC 端点为 Amazon ElastiCache API 创建 VPC 端点策略
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

Amazon ElastiCache API 和接口 VPC 端点(Amazon PrivateLink)

您可以通过创建 接口 VPC 端点在 VPC 和 Amazon ElastiCache API 端点之间建立私有连接。接口端点由 Amazon PrivateLink 提供支持。Amazon PrivateLink 使您可以私下访问 Amazon ElastiCache API 操作,而无需互联网网关、NAT 设备、VPN 连接或 Amazon Direct Connect 连接。

VPC 中的实例不需要公有 IP 地址便可与 Amazon ElastiCache API 端点进行通信。您的实例也不需要公有 IP 地址即可使用任何可用的 ElastiCache API 操作。您的 VPC 和 Amazon ElastiCache 之间的流量不会脱离 Amazon 网络。每个接口终端节点均由子网中的一个或多个弹性网络接口表示。有关弹性网络接口的更多信息,请参阅《Amazon EC2 用户指南》中的弹性网络接口

在创建接口 VPC 端点后,如果您为端点启用私有 DNS 主机名,则默认 ElastiCache 端点(https://elasticache.Region.amazonaws.com)将解析为您的 VPC 端点。如果您尚未启用私有 DNS 主机名,则 Amazon VPC 将提供一个您可以使用的 DNS 端点名称,格式如下:

VPC_Endpoint_ID.elasticache.Region.vpce.amazonaws.com

有关更多信息,请参阅《Amazon VPC 用户指南》中的接口 VPC 终端节点 (Amazon PrivateLink)。ElastiCache 支持调用您的 VPC 中的所有 API 操作

注意

只能为 VPC 中的一个 VPC 端点启用私有 DNS 主机名。如果要创建额外的 VPC 端点,则应为其禁用私有 DNS 主机名。

在为 Amazon ElastiCache API 端点设置接口 VPC 端点之前,请务必查看 Amazon VPC 用户指南中的接口端点属性和限制。可以从使用 Amazon PrivateLink 的 VPC 中获取与管理 Amazon ElastiCache 资源相关的所有 ElastiCache API 操作。

ElastiCache API 端点支持 VPC 端点策略。默认情况下,允许通过端点对 ElastiCache API 操作进行完全访问。有关更多信息,请参阅《Amazon VPC 用户指南》中的使用 VPC 端点控制对服务的访问权限

您可以使用 Amazon VPC 控制台或 Amazon CLI 为 Amazon ElastiCache API 创建 VPC 端点。有关更多信息,请参阅 Amazon VPC 用户指南.中的创建接口端点

在创建接口 VPC 端点后,您可以为端点启用私有 DNS 主机名。当您执行此操作时,默认的 Amazon ElastiCache 端点(https://elasticache.Region.amazonaws.com)将解析为您的 VPC 端点。对于中国(北京)和中国(宁夏)Amazon 区域,您可以通过 VPC 端点分别使用 elasticache.cn-north-1.amazonaws.com.cn(对于北京)和 elasticache.cn-northwest-1.amazonaws.com.cn(对于宁夏)发出 API 请求。有关更多信息,请参阅 Amazon VPC 用户指南中的通过接口端点访问服务

您可以为 VPC 端点附加控制对 ElastiCache API 的访问的端点策略。此策略指定以下内容:

  • 可执行操作的委托人。

  • 可执行的操作。

  • 可对其执行操作的资源。

有关更多信息,请参阅《Amazon VPC 用户指南》中的使用 VPC 端点控制对服务的访问权限

例 ElastiCache API 操作的 VPC 端点策略

下面是用于 ElastiCache API 的端点策略示例。当附加到端点时,此策略会向所有委托人授予对列出的针对所有资源的 ElastiCache API 操作的访问权限。

{
	"Statement": [{
		"Principal": "*",
		"Effect": "Allow",
		"Action": [
			"elasticache:CreateCacheCluster",
			"elasticache:ModifyCacheCluster"			
		],
		"Resource": "*"
	}]
}
例 拒绝来自指定 Amazon 账户的所有访问的 VPC 端点策略

以下 VPC 终端节点策略拒绝 Amazon 账户 123456789012 所有使用终端节点访问资源的权限。此策略允许来自其他账户的所有操作。

{
	"Statement": [{
			"Action": "*",
			"Effect": "Allow",
			"Resource": "*",
			"Principal": "*"
		},
		{
			"Action": "*",
			"Effect": "Deny",
			"Resource": "*",
			"Principal": {
				"AWS": [
					"123456789012"
				]
			}
		}
	]
}