本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Amazon IoT SiteWise 和接口 VPC 终端节点 (Amazon PrivateLink)
您可通过创建 VPC 接口端点在虚拟私有云 (VPC) 和 Amazon IoT SiteWise 之间创建私有连接。接口端点由一项技术提供支持 Amazon PrivateLink
每个接口端点均由子网中的一个或多个弹性网络接口表示。
有关更多信息,请参阅《Amazon VPC 用户指南》中的接口 VPC 端点 (Amazon PrivateLink)。
Amazon IoT SiteWise VPC 终端节点的注意事项
在为设置接口 VPC 终端节点之前 Amazon IoT SiteWise,请查看 Amazon VPC 用户指南中的接口终端节点属性和限制。
Amazon IoT SiteWise 支持从您的 VPC 调用以下 Amazon IoT SiteWise API 操作:
-
对于所有数据面板 API 操作,请使用以下端点。
data.iotsitewise.cn-north-1.amazonaws.com.cn数据平面 API 操作包括BatchGetAssetPropertyValueBatchGetAssetPropertyValueHistory、BatchPutAssetPropertyValue、GetAssetPropertyAggregates、GetAssetPropertyValue、GetAssetPropertyValueHistory和GetInterpolatedAssetPropertyValues。
-
对于用于管理资产模型、资产、 SiteWise 边缘网关、标签和账户配置的控制平面 API 操作,请使用以下端点。
api.iotsitewise.cn-north-1.amazonaws.com.cn支持的控制平面 API 操作包括AssociateAssets、CreateAsset、CreateAssetModel、DeleteAsset、DeleteAssetModel、、DeleteDashboard、DescribeAsset、DescribeAssetModel、DescribeAssetProperty、DescribeDashboard、DescribeLoggingOptions、DisassociateAssets、ListAssetModels、ListAssetRelationships、、ListAssets、ListAssociatedAssets、PutLoggingOptions、UpdateAsset、UpdateAssetModel、UpdateAssetProperty、CreateGateway、、DeleteGateway、DescribeGateway、DescribeGatewayCapabilityConfiguration、ListGateways、UpdateGateway、、、、ListTagsForResource、PutDefaultEncryptionConfiguration、、TagResource、和UntagResource。
注意
控制平面 API 操作的接口 VPC 终端节点目前不支持调用以下 M SiteWise onitor API 操作:BatchAssociateProjectAssets、BatchDisassociateProjectAssets、CreateAccessPolicy、、CreateDashboard、CreatePortal、CreateProject、、DeleteAccessPolicy、DeletePortal、DeleteProject、、DescribeAccessPolicy、DescribePortal、DescribeProject、、ListAccessPolicies、ListDashboards、ListPortals、ListProjectAssets、ListProjects、UpdateAccessPolicy、UpdateDashboard、UpdatePortal、和UpdateProject。
为 Amazon IoT SiteWise创建接口 VPC 端点
您可以为 Amazon IoT SiteWise 服务创建 VPC 终端节点。您可以使用 Amazon VPC 控制台或 Amazon Command Line Interface (Amazon CLI)。有关更多信息,请参阅《Amazon VPC 用户指南》中的创建接口端点。
使用以下服务名称之一 Amazon IoT SiteWise 为创建 VPC 终端节点:
-
对于数据面板 API 操作,请使用以下服务名称:
com.cn.amazonaws.cn-north-1.iotsitewise.data -
对于控制面板 API 操作,请使用以下服务名称:
com.cn.amazonaws.cn-north-1.iotsitewise.api
Amazon IoT SiteWise 通过接口 VPC 终端节点进行访问
当您创建接口终端节点时,我们会生成特定于终端节点的 DNS 主机名,您可以用来与之通信。 Amazon IoT SiteWise默认情况下启用私有 DNS。有关更多信息,请参阅 Amazon VPC 用户指南中的使用私有托管区域。
如果为端点启用私有 DNS,则可以通过以下 VPC 端点向 Amazon IoT SiteWise 发出 API 请求。
-
对于数据面板 API 操作,请使用以下端点。
data.iotsitewise.cn-north-1.amazonaws.com.cn -
对于控制面板 API 操作,请使用以下端点。
data.iotsitewise.cn-north-1.amazonaws.com.cn
如果您为端点禁用私有 DNS,则必须执行以下操作,才能通过端点访问 Amazon IoT SiteWise :
-
在 API 请求中指定 VPC 端点 url。
-
对于数据面板 API 操作,请使用以下端点 url。将
vpc-endpoint-id替换为您的 VPC 终端节点 ID 。vpc-endpoint-id.data.iotsitewise.cn-north-1.vpce.amazonaws.com.cn -
对于控制面板 API 操作,请使用以下端点 url。将
vpc-endpoint-id替换为您的 VPC 终端节点 ID 。vpc-endpoint-id.api.iotsitewise.cn-north-1.vpce.amazonaws.com.cn
-
-
禁用主机前缀注入功能。当您调用每个 API 操作时, Amazon CLI 和 Amazon SDK 会在服务端点前面加上各种主机前缀。此功能会导致 Amazon CLI 和 Amazon 软件开发工具包生成在您指定 VPC 终端节点 Amazon IoT SiteWise 时无效的 URL。
重要
您无法在 Amazon CLI 或中禁用主机前缀注入 Amazon Tools for PowerShell。这意味着,如果您禁用私有 DNS,则无法使用这些工具 Amazon IoT SiteWise 通过 VPC 终端节点进行访问。允许私有 DNS 使用 Amazon CLI 或 Amazon IoT SiteWise 通过终端节点 Amazon Tools for PowerShell 进行访问。
有关如何在 SDK 中禁用主机前缀注入的更多信息,请参阅每个 Amazon SDK 的以下文档部分:
有关更多信息,请参阅《Amazon VPC 用户指南》中的通过接口端点访问服务。
为创建 VPC 终端节点策略 Amazon IoT SiteWise
您可以为 VPC 端点附加控制对 Amazon IoT SiteWise的访问的端点策略。该策略指定以下信息:
-
可执行操作的主体。
-
可执行的操作。
-
可对其执行操作的资源。
有关更多信息,请参阅《Amazon VPC 用户指南》中的使用 VPC 端点控制对服务的访问权限。
示例:用于 Amazon IoT SiteWise 操作的 VPC 终端节点策略
以下是的终端节点策略示例 Amazon IoT SiteWise。当连接到终端节点时,此策略授予用户访问iotsitewiseadmin123456789012 中列出的对指定资产的 Amazon IoT SiteWise 操作的访问权限。
{ "Statement": [ { "Action": [ "iotsitewise:CreateAsset", "iotsitewise:ListGateways", "iotsitewise:ListTagsForResource" ], "Effect": "Allow", "Resource": "arn:aws:iotsitewise:cn-north-1:123456789012:asset/a1b2c3d4-5678-90ab-cdef-33333EXAMPLE", "Principal": { "AWS": [ "123456789012:user/iotsitewiseadmin" ] } } ] }