性能详情 API 和接口 VPC 端点(Amazon PrivateLink) - Amazon Relational Database Service
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

性能详情 API 和接口 VPC 端点(Amazon PrivateLink)

可以使用 Amazon PrivateLink 在 VPC 和 Amazon RDS 性能详情之间创建私有连接。可以像在 VPC 中一样访问性能详情,而无需使用互联网网关、NAT 设备、VPN 连接或 Amazon Direct Connect 连接。VPC 中的实例不需要公有 IP 地址即可访问性能详情。

您可以通过创建由 Amazon PrivateLink 提供支持的接口端点来建立此私有连接。我们将在您为接口端点启用的每个子网中创建一个端点网络接口。这些是请求者托管的网络接口,用作发往性能详情的流量的入口点。

有关更多信息,请参阅《Amazon PrivateLink 指南》中的通过 Amazon PrivateLink 访问 Amazon Web Services 服务

性能详情的注意事项

在为性能详情设置接口端点之前,请首先查看《Amazon PrivateLink 指南》中的 Considerations

性能详情支持通过接口端点调用其所有 API 操作。

默认情况下,支持通过接口端点对性能详情进行完全访问。要控制通过接口端点流向性能详情的流量,请将安全组与端点网络接口关联。

可用性

性能详情 API 目前在支持性能详情的 Amazon Web Services 区域中支持 VPC 端点。有关性能详情可用性的信息,请参阅支持 Amazon RDS 中 Performance Insights 的区域和数据库引擎

为性能详情创建接口端点

可以使用 Amazon VPC 控制台或 Amazon Command Line Interface(Amazon CLI)为性能详情创建接口端点。有关更多信息,请参阅《Amazon PrivateLink 指南》中的创建接口端点

使用以下服务名称为性能详情创建接口端点:

如果为接口端点启用私有 DNS,则可使用其默认区域 DNS 名称向性能详情发出 API 请求。例如,pi.us-east-1.amazonaws.com

为性能详情 API 创建 VPC 端点策略

端点策略是一种 IAM 资源,您可以将其附加到接口端点。默认端点策略支持通过接口端点完全访问性能详情。要控制支持从 VPC 访问性能详情的权限,请将自定义端点策略附加到接口端点。

端点策略指定以下信息:

  • 可执行操作的主体(Amazon Web Services 账户、IAM 用户和 IAM 角色)。

  • 可执行的操作。

  • 可对其执行操作的资源。

有关更多信息,请参阅《Amazon PrivateLink 指南》中的使用端点策略控制对服务的访问权限

示例:性能详情操作的 VPC 端点策略

以下是自定义端点策略的示例。将此策略附加到接口端点时,该策略会向所有主体授予对所有资源执行所列出的性能详情操作的访问权限。

{ "Statement":[ { "Principal":"*", "Effect":"Allow", "Action":[ "rds:CreatePerformanceAnalysisReport", "rds:DeletePerformanceAnalysisReport", "rds:GetPerformanceAnalysisReport" ], "Resource":"*" } ] }
示例:拒绝来自指定 Amazon 账户的所有访问的 VPC 终端节点策略

以下 VPC 端点策略会拒绝 Amazon 账户 123456789012 所有使用端点访问资源的权限。此策略允许来自其他账户的所有操作。

{ "Statement": [ { "Action": "*", "Effect": "Allow", "Resource": "*", "Principal": "*" }, { "Action": "*", "Effect": "Deny", "Resource": "*", "Principal": { "AWS": [ "123456789012" ] } } ] }

性能详情的 IP 寻址

IP 地址使 VPC 中的资源能够相互通信以及与 Internet 上的资源进行通信。性能详情同时支持 IPv4 和 IPv6 寻址协议。默认情况下,性能详情和 Amazon VPC 使用 IPv4 寻址协议。您无法关闭这种行为。创建 VPC 时,请确保指定 IPv4 CIDR 块 (一系列私有 IPv4 地址)。

可以选择将 IPv6 CIDR 块分配给 VPC 和子网,并将来自该块的 IPv6 地址分配给子网中的 RDS 资源。对 IPv6 协议的支持扩展了支持的 IP 地址数量。通过使用 IPv6 协议,您可以确保有足够的可用地址来应对 Internet 的未来发展。新的和现有 RDS 资源可以在 VPC 内使用 IPv4 和 IPv6 地址。在应用程序不同部分使用的两个协议之间配置、保护和转换网络流量可能会产生运营开销。您可以对 Amazon RDS 资源的 IPv6 协议进行标准化,以简化网络配置。有关服务端点和配额的更多信息,请参阅 Amazon Relational Database Service endpoints and quotas

有关 Amazon RDS IP 寻址的更多信息,请参阅 Amazon RDS IP 寻址