Amazon RDS API 和接口 VPC 终端节点 (Amazon PrivateLink) - Amazon Relational Database Service
注意事项可用性创建接口 VPC 终端节点创建 VPC 终端节点策略
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

Amazon RDS API 和接口 VPC 终端节点 (Amazon PrivateLink)

您可以通过创建接口 VPC 终端节点 在 VPC 和 Amazon RDS API 终端节点之间建立私有连接。接口终端节点由 提供支持Amazon PrivateLink

Amazon PrivateLink 使您可以私下访问 Amazon RDS API 操作,而无需互联网网关、NAT 设备、VPN 连接或 Amazon Direct Connect 连接。VPC 中的数据库实例不需要公有 IP 地址即可与 Amazon RDS API 端点进行通信,进而启动、修改或终止数据库实例。您的数据库实例也不需要公有 IP 地址即可使用任何可用的 RDS API 操作。您的 VPC 和 Amazon RDS 之间的流量不会脱离 Amazon 网络。

每个接口终端节点均由子网中的一个或多个弹性网络接口表示。有关弹性网络接口的更多信息,请参阅《Amazon EC2 用户指南》中的弹性网络接口

有关 VPC 终端节点的更多信息,请参阅 Amazon VPC 用户指南中的接口 VPC 终端节点 (Amazon PrivateLink)。有关 RDS API 操作的信息,请参阅 Amazon RDS API 参考

您不需要接口 VPC 端点即可连接到数据库实例。有关更多信息,请参阅在 VPC 中访问数据库实例的场景

VPC 终端节点注意事项

在为 Amazon RDS API 终端节点设置接口 VPC 终端节点之前,请务必查看Amazon VPC 用户指南 中的接口终端节点属性和限制

可以从使用 Amazon PrivateLink 的 VPC 中获取所有与管理 Amazon RDS 资源相关的 RDS API 操作。

RDS API 终端节点支持 VPC 终端节点策略。默认情况下,允许通过终端节点对 RDS API 操作进行完全访问。有关更多信息,请参阅 Amazon VPC 用户指南中的使用 VPC 终端节点控制对服务的访问

可用性

Amazon RDS API 当前在以下Amazon区域中支持 VPC 终端节点:

  • US East (Ohio)

  • 美国东部(弗吉尼亚州北部)

  • 美国西部(北加利福尼亚)

  • 美国西部(俄勒冈州)

  • 非洲(开普敦)

  • 亚太地区(香港)

  • Asia Pacific (Mumbai)

  • 亚太地区(大阪)

  • 亚太地区(首尔)

  • 亚太地区(新加坡)

  • 亚太地区(悉尼)

  • 亚太地区(东京)

  • 加拿大(中部)

  • 加拿大西部(卡尔加里)

  • 中国(北京)

  • 中国(宁夏)

  • 欧洲地区(法兰克福)

  • 欧洲(苏黎世)

  • 欧洲地区(爱尔兰)

  • 欧洲地区(伦敦)

  • 欧洲地区(巴黎)

  • Europe (Stockholm)

  • 欧洲地区(米兰)

  • 以色列(特拉维夫)

  • 中东(巴林)

  • 南美洲(圣保罗)

为 Amazon RDS API 创建接口 VPC 终端节点

您可以使用 Amazon VPC 控制台或 Amazon Command Line Interface (Amazon CLI) 为 EBS 直接 Amazon RDS API 服务创建 VPC 终端节点。有关更多信息,请参阅 Amazon VPC 用户指南中的创建接口终端节点

使用服务名称 com.amazonaws.region.rds 为 Amazon RDS API 创建 VPC 终端节点。

如果您为终端节点启用私有 DNS,则可以将其默认 DNS 名称用于Amazon区域(例如 rds.us-east-1.amazonaws.com),从而通过 VPC 终端节点向 Amazon RDS 发出 API 请求(中国的Amazon区域除外)。对于中国(北京)和中国(宁夏)Amazon区域,您可以通过 VPC 终端节点分别使用 rds-api.cn-north-1.amazonaws.com.cnrds-api.cn-northwest-1.amazonaws.com.cn 发出 API 请求。

有关更多信息,请参阅 Amazon VPC 用户指南中的通过接口终端节点访问服务

为 Amazon RDS API 创建 VPC 终端节点策略

您可以为 VPC 终端节点附加控制对 Amazon RDS API 的访问的终端节点策略。该策略指定以下信息:

  • 可执行操作的主体。

  • 可执行的操作。

  • 可对其执行操作的资源。

有关更多信息,请参阅 Amazon VPC 用户指南中的使用 VPC 终端节点控制对服务的访问

示例:Amazon RDS API 操作的 VPC 终端节点策略

下面是用于 Amazon RDS API 的终端节点策略示例。当附加到终端节点时,此策略会向所有委托人授予对列出的针对所有资源的 Amazon RDS API 操作的访问权限。

{
   "Statement":[
      {
         "Principal":"*",
         "Effect":"Allow",
         "Action":[
            "rds:CreateDBInstance",
            "rds:ModifyDBInstance",
            "rds:CreateDBSnapshot"
         ],
         "Resource":"*"
      }
   ]
}
示例:拒绝来自指定 Amazon 账户的所有访问的 VPC 终端节点策略

以下 VPC 端点策略会拒绝 Amazon 账户 123456789012 所有使用端点访问资源的权限。此策略允许来自其他账户的所有操作。

{
  "Statement": [
    {
      "Action": "*",
      "Effect": "Allow",
      "Resource": "*",
      "Principal": "*"
    },
    {
      "Action": "*",
      "Effect": "Deny",
      "Resource": "*",
      "Principal": {
        "AWS": [
          "123456789012"
        ]
      }
   ]
}