Amazon IoT SiteWise 和接口 VPC 端点 (Amazon PrivateLink) - Amazon IoT SiteWise
Amazon IoT SiteWise VPC 终端节点注意事项为 Amazon IoT SiteWise 创建接口 VPC 终端节点正在访问Amazon IoT SiteWise通过接口 VPC 终端节点为 Amazon IoT SiteWise 创建 VPC 终端节点策略
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon IoT SiteWise 和接口 VPC 端点 (Amazon PrivateLink)

您可以在虚拟私有云 (VPC) 和之间建立私有连接Amazon IoT SiteWise通过创建一个接口 VPC 端点。接口端点由Amazon PrivateLink,一种你可以用来私下访问的技术Amazon IoT SiteWise没有互联网网关、NAT 设备、VPN 连接的 API 操作或Amazon Direct Connect连接。您的 VPC 中的实例不需要公有 IP 地址即可与之通信Amazon IoT SiteWiseAPI 操作。您的 VPC 和之间的流量Amazon IoT SiteWise不会离开Amazon网络。

每个接口端点均由子网中的一个或多个弹性网络接口表示。

有关更多信息,请参阅 Amazon VPC 用户指南中的接口 VPC 终端节点 (Amazon PrivateLink)

Amazon IoT SiteWise VPC 终端节点注意事项

在为其设置接口 VPC 终端节点之前Amazon IoT SiteWise,请查看接口端点属性和限制亚马逊 VPC 用户指南

Amazon IoT SiteWise支持拨打以下电话Amazon IoT SiteWise来自您的 VPC 的 API 操作:

为 Amazon IoT SiteWise 创建接口 VPC 终端节点

您可以为创建 VPC 终端节点Amazon IoT SiteWise服务。您可以使用亚马逊 VPC 控制台或Amazon Command Line Interface(Amazon CLI)。有关更多信息,请参阅 Amazon VPC 用户指南中的创建接口端点

为创建 VPC 终端节点Amazon IoT SiteWise使用以下服务名称之一:

  • 对于数据平面 API 操作,请使用以下服务名称:

    com.cn.amazonaws.cn-north-1.iotsitewise.data

  • 对于控制平面 API 操作,请使用以下服务名称:

    com.cn.amazonaws.cn-north-1.iotsitewise.api

正在访问Amazon IoT SiteWise通过接口 VPC 终端节点

当您创建接口终端节点时,我们会生成特定于终端节点的 DNS 主机名,您可以使用这些主机名与之通信Amazon IoT SiteWise。私有 DNS 选项默认处于启用状态。有关更多信息,请参阅使用私有托管区域亚马逊 VPC 用户指南

如果您为终端节点启用私有 DNS,则可以向发出 API 请求Amazon IoT SiteWise通过以下 VPC 终端节点之一。

  • 对于数据平面 API 操作,请使用以下端点。

    data.iotsitewise.cn-north-1.amazonaws.com.cn

  • 对于控制平面 API 操作,请使用以下端点。

    data.iotsitewise.cn-north-1.amazonaws.com.cn

如果您为终端节点禁用私有 DNS,则必须执行以下操作才能访问Amazon IoT SiteWise通过端点:

  • 在 API 请求中指定 VPC 终端节点网址。

    • 对于数据层面 API 操作,请使用以下端点 URL。替换vpc-endpoint-id使用您的 VPC 终端节点 ID。

      vpc-endpoint-id.data.iotsitewise.cn-north-1.vpce.amazonaws.com.cn

    • 对于控制平面 API 操作,请使用以下端点 URL。替换vpc-endpoint-id使用您的 VPC 终端节点 ID。

      vpc-endpoint-id.api.iotsitewise.cn-north-1.vpce.amazonaws.com.cn

  • 禁用主机前缀注入。的Amazon CLI和Amazon当您调用每个 API 操作时,SDK 会在服务端点前面加上各种主机前缀。此功能导致Amazon CLI和Amazon用于生成无效 URL 的软件开发工具包Amazon IoT SiteWise当您指定 VPC 终端节点时。

    重要

    您无法在中禁用主机前缀注入Amazon CLI或者Amazon Tools for PowerShell。这意味着,如果您禁用私有 DNS,则无法使用这些工具进行访问Amazon IoT SiteWise通过 VPC 终端节点。启用私有 DNS 以使用Amazon CLI或者Amazon Tools for PowerShell访问权限Amazon IoT SiteWise通过端点。

    有关如何禁用主机前缀注入的更多信息,请参阅AmazonSDK,请参阅每个 SDK 的以下文档部分:

有关更多信息,请参阅 Amazon VPC 用户指南中的通过接口端点访问服务

为 Amazon IoT SiteWise 创建 VPC 终端节点策略

您可以为 VPC 终端节点附加控制对 Amazon IoT SiteWise 的访问的终端节点策略。该策略指定以下信息:

  • 可以执行操作的委托人。

  • 可以执行的操作。

  • 可以对其执行操作的资源。

有关更多信息,请参阅 Amazon VPC 用户指南中的使用 VPC 端点控制对服务的访问

示例:Amazon IoT SiteWise 操作的 VPC 终端节点策略

下面是用于 Amazon IoT SiteWise 的终端节点策略示例。当连接到终端节点时,此策略授予对所列终端节点的访问权限Amazon IoT SiteWise为用户执行的操作iotsitewiseadmin在Amazon Web Services 账户 123456789012在指定的资产上。

{
    "Statement": [
        {
            "Action": [
                "iotsitewise:CreateAsset",
                "iotsitewise:ListGateways",
                "iotsitewise:ListTagsForResource"
            ],
            "Effect": "Allow",
            "Resource": "arn:aws:iotsitewise:cn-north-1:123456789012:asset/a1b2c3d4-5678-90ab-cdef-33333EXAMPLE",
            "Principal": {
                "AWS": [
                    "123456789012:user/iotsitewiseadmin"
                ]
            }
        }
    ]
}