为 Amazon RDS 数据 API 创建 Amazon VPC 端点(Amazon PrivateLink) - Amazon Aurora
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

为 Amazon RDS 数据 API 创建 Amazon VPC 端点(Amazon PrivateLink)

借助 Amazon VPC,您可以在 Virtual Private Cloud (VPC) 中启动Amazon资源(例如 Aurora 数据库集群和应用程序)。Amazon PrivateLink 在亚马逊网络上提供了 VPC 和Amazon服务之间的私有连接,这种连接具有高度的安全性。通过使用 Amazon PrivateLink,您可以创建 Amazon VPC 端点,这可让您根据 Amazon VPC 跨不同的账号和 VPC 连接到服务。有关 Amazon PrivateLink 的更多信息,请参阅《Amazon Virtual Private Cloud 用户指南》中的 VPC 端点服务(Amazon PrivateLink)

您可以使用 Amazon VPC 端点调用 RDS 数据 API(数据 API)。使用 Amazon VPC 端点可保持 Amazon VPC 中的应用程序与 Amazon 网络中数据 API 间的流量,而无需使用公有 IP 地址。Amazon VPC 端点可帮助您遵守与管理公共互联网连接有关的合规性和法规要求。例如,如果您使用 Amazon VPC 端点,则可保持 Amazon EC2 实例上运行的应用程序和包含端点的 VPC 中的数据 API 之间的流量。

创建 Amazon VPC 端点后,便能开始使用此端点,而无需在应用程序中进行任何代码或配置更改。

为数据 API 创建 Amazon VPC 端点

  1. 登录到Amazon Web Services Management Console并打开 Amazon VPC 控制台,网址:https://console.aws.amazon.com/vpc/

  2. 选择端点,然后选择创建端点

  3. Create Endpoint (创建端点) 页面上,为 Service category (服务类别) 选择 Amazon services ( 服务)。对于 Service Name (服务名称),请选择 rds-data。​

    为数据 API 创建 Amazon VPC 端点

  4. 对于 VPC,选择要在其中创建端点的 VPC。

    选择包含用于进行 Data API 调用的应用程序的 VPC。

  5. 对于 Subnets(子网),请为运行应用程序的 Amazon 服务所使用的每个可用区 (AZ) 选择子网。

    为 Amazon VPC 端点选择子网

    要创建 Amazon VPC 端点,请指定端点可在其中访问的私有 IP 地址范围。为此,请为每个可用区选择子网。执行此操作会将 VPC 端点限制为特定于每个可用区的私有 IP 地址范围,并且还会在每个可用区中创建一个 Amazon VPC 端点。

  6. 对于 Enable DNS Name (启用 DNS 名称),选择 Enable for this endpoint (为此端点启用)

    为 Amazon VPC 端点启用 DNS 名称

    私有 DNS 会将标准 Data API DNS 主机名 (https://rds-data.region.amazonaws.com) 解析为与特定于 Amazon VPC 端点的 DNS 主机名关联的私有 IP 地址。因此,您可以使用 Amazon CLI 或 Amazon SDK 访问数据 API VPC 端点,而无需进行任何代码或配置更改来更新数据 API 的端点 URL。

  7. 对于安全组,选择要与 Amazon VPC 端点关联的安全组。

    选择允许访问运行应用程序的 Amazon 服务的安全组。例如,如果 Amazon EC2 实例正在运行您的应用程序,请选择允许访问 Amazon EC2 实例的安全组。利用安全组,您可以控制从 VPC 中的资源发送到 Amazon VPC 端点的流量。

  8. 对于 Policy (策略),选择 Full Access (完全访问) 以允许 Amazon VPC 中的任何人通过此端点访问 Data API。或者,选择 Custom (自定义) 以指定限制访问的策略。

    如果选择 Custom (自定义),请在策略创建工具中输入策略。

  9. 选择Create endpoint

创建端点后,选择 Amazon Web Services Management Console中的链接以查看端点详细信息。

链接到 Amazon VPC 端点详细信息

端点 Details (详细信息) 选项卡将显示在创建 Amazon VPC 端点时生成的 DNS 主机名。

链接到 Amazon VPC 终端节点详细信息

您可以使用标准端点 (rds-data.region.amazonaws.com) 或特定于 VPC 的端点之一来调用 Amazon VPC 中的 Data API。标准 Data API 端点将自动路由到 Amazon VPC 端点。发生此路由的原因是,在创建 Amazon VPC 端点时启用了私有 DNS 主机名。

在数据 API 调用中使用 Amazon VPC 端点时,应用程序和数据 API 之间的所有流量将保留在包含它们的 Amazon VPC 中。可以将 Amazon VPC 端点用于任何类型的 Data API 调用。有关调用数据 API 的信息,请参阅调用 Amazon RDS 数据 API