Amazon Aurora 和接口 VPC 终端节点 (AWS PrivateLink) - Amazon Aurora
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

Amazon Aurora 和接口 VPC 终端节点 (AWS PrivateLink)

您可以通过创建接口 VPC 终端节点 在 VPC 和 Amazon RDS API 终端节点之间建立私有连接。接口终端节点由 AWS PrivateLink 提供支持。

AWS PrivateLink 使您可以私下访问 Amazon Aurora API 操作,而无需互联网网关、NAT 设备、VPN 连接或 AWS Direct Connect 连接。VPC 中的实例不需要公有 IP 地址即可与 Amazon RDS API 终端节点进行通信,以启动、修改或终止数据库集群。您的实例也不需要公有 IP 地址即可使用任何可用的 RDS API 操作。您的 VPC 和 Amazon Aurora 之间的流量不会脱离 Amazon 网络。

每个接口终端节点均由子网中的一个或多个弹性网络接口表示。有关弹性网络接口的更多信息,请参阅《Amazon EC2 用户指南》中的弹性网络接口

有关更多信息,请参阅 Amazon VPC 用户指南中的接口 VPC 终端节点 (AWS PrivateLink)

关于 Amazon Aurora VPC 终端节点的注意事项

在为 Amazon RDS API 终端节点设置接口 VPC 终端节点之前,请务必查看Amazon VPC 用户指南 中的接口终端节点属性和限制

Amazon Aurora 支持从 VPC 调用它的所有 API 操作。

Amazon Aurora 支持 VPC 终端节点策略。默认情况下,允许通过终端节点对 Amazon Aurora 进行完全访问。有关更多信息,请参阅Amazon VPC 用户指南 中的使用 VPC 终端节点控制对服务的访问

可用性

Amazon Aurora 当前在以下 AWS 区域中支持 VPC 终端节点:

  • 美国东部(俄亥俄州)

  • 美国东部(弗吉尼亚北部)

  • 美国西部(加利福尼亚北部)

  • 美国西部(俄勒冈)

  • 亚太地区(香港)

  • 亚太地区(孟买)

  • 亚太区域(首尔)

  • 亚太区域(新加坡)

  • 亚太区域(悉尼)

  • 亚太区域(东京)

  • 加拿大 (中部)

  • 欧洲(法兰克福)

  • 欧洲(爱尔兰)

  • 欧洲(伦敦)

  • 欧洲(巴黎)

  • 欧洲(斯德哥尔摩)

  • 中东(巴林)

  • 南美洲(圣保罗)

  • AWS GovCloud(美国东部)

  • AWS GovCloud(美国西部)

Amazon Aurora 创建接口 VPC 终端节点

您可以使用 Amazon VPC 控制台或 AWS Command Line Interface (AWS CLI) 为 Amazon RDS API 创建 VPC 终端节点。有关更多信息,请参阅 Amazon VPC 用户指南 中的创建接口终端节点

使用服务名称 com.amazonaws.region.rdsAmazon Aurora 创建 VPC 终端节点。

如果为终端节点启用私有 DNS,则可以将其默认 DNS 名称用于区域(例如 rds.us-east-1.amazonaws.com),从而向 Amazon Aurora 发出 API 请求。

有关更多信息,请参阅 Amazon VPC 用户指南中的通过接口终端节点访问服务

Amazon Aurora 创建 VPC 终端节点策略

您可以为 VPC 终端节点附加控制对 Amazon Aurora 的访问的终端节点策略。该策略指定以下信息:

  • 可执行操作的委托人。

  • 可执行的操作。

  • 可对其执行操作的资源。

有关更多信息,请参阅 Amazon VPC 用户指南中的使用 VPC 终端节点控制对服务的访问

示例:Amazon Aurora 操作的 VPC 终端节点策略

下面是 Amazon Aurora 的终端节点策略示例。当附加到终端节点时,此策略会向所有委托人授予对列出的针对所有资源的 Amazon Aurora 操作的访问权限。

{ "Statement":[ { "Principal":"*", "Effect":"Allow", "Action":[ "rds:CreateDBInstance", "rds:ModifyDBInstance", "rds:CreateDBSnapshot" ], "Resource":"*" } ] }

拒绝来自指定 AWS 账户的所有访问的 VPC 终端节点策略

以下 VPC 终端节点策略会拒绝 AWS 账户 123456789012 所有使用终端节点访问资源的权限。此策略允许来自其他账户的所有操作。

{ "Statement": [ { "Action": "*", "Effect": "Allow", "Resource": "*", "Principal": "*" }, { "Action": "*", "Effect": "Deny", "Resource": "*", "Principal": { "AWS": [ "123456789012" ] } ] }