Amazon IoT SiteWise 和接口 VPC 终端节点 (Amazon PrivateLink) - Amazon IoT SiteWise
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon IoT SiteWise 和接口 VPC 终端节点 (Amazon PrivateLink)

您可以在您的虚拟专用云 (VPC) 与Amazon IoT SiteWise通过创建接口 VPC 终端节点. 接口终端节点由以下公司提供提供支持Amazon PrivateLink,这是一项可用于私下访问的技术Amazon IoT SiteWiseAPI 操作没有互联网网关、NAT 设备、VPN 连接或Amazon Direct Connect连接. VPC 中的实例不需要公有 IP 地址便可与进行通信Amazon IoT SiteWiseAPI 操作。VPC 和之间的流量Amazon IoT SiteWise不会离开Amazon网络。

每个接口端点均由子网中的一个或多个弹性网络接口表示。

有关更多信息,请参阅 Amazon VPC 用户指南中的接口 VPC 终端节点 (Amazon PrivateLink)

Amazon IoT SiteWise VPC 终端节点注意事项

在您为设置接口 VPC 终端节点之前Amazon IoT SiteWise,查看接口终端节点属性和限制中的Amazon VPC User Guide.

Amazon IoT SiteWise支持拨打以下电话Amazon IoT SiteWise您的 VPC 中的 API 操作:

为 Amazon IoT SiteWise 创建接口 VPC 终端节点

您可以为创建 VPC 终端节点Amazon IoT SiteWise服务。您可以使用 Amazon VPC 控制台或Amazon Command Line Interface(Amazon CLI)。有关更多信息,请参阅 Amazon VPC 用户指南.中的创建接口端点

为 创建 VPC 终端节点Amazon IoT SiteWise通过使用以下服务名称之一:

  • 对于数据平面 API 操作,请使用以下服务名称:

    com.cn.amazonaws.cn-north-1.iotsitewise.data
  • 对于控制平面 API 操作,请使用以下服务名称:

    com.cn.amazonaws.cn-north-1.iotsitewise.api

访问Amazon IoT SiteWise通过接口 VPC 终端节点

当您创建接口终端节点时,我们将生成您可用于通信的终端节点特定 DNS 主机名Amazon IoT SiteWise. 默认情况下,将启用私有 DNS 选项。有关更多信息,请参阅 。使用私有托管区域中的Amazon VPC User Guide.

如果为终端节点启用私有 DNS,则可以向其发出 API 请求Amazon IoT SiteWise通过以下 VPC 终端节点之一。

  • 对于数据平面 API 操作,请使用以下端点。

    data.iotsitewise.cn-north-1.amazonaws.com.cn
  • 对于控制平面 API 操作,请使用以下端点。

    data.iotsitewise.cn-north-1.amazonaws.com.cn

如果禁用终端节点的私有 DNS,则必须执行以下操作才能访问Amazon IoT SiteWise通过终端节点:

  • 在 API 请求中指定 VPC 终端节点网址。

    • 对于数据平面 API 操作,请使用以下端点 url。Replacevpc-endpoint-id使用您的 VPC 终端节点 ID.

      vpc-endpoint-id.data.iotsitewise.cn-north-1.vpce.amazonaws.com.cn
    • 对于控制平面 API 操作,请使用以下端点 url。Replacevpc-endpoint-id使用您的 VPC 终端节点 ID.

      vpc-endpoint-id.api.iotsitewise.cn-north-1.vpce.amazonaws.com.cn
  • 禁用主机前缀注入。这些区域有:Amazon CLI和Amazon当您调用每个 API 操作时,SDK 会在服务终端节点前面加上各种主机前缀。此功能会导致Amazon CLI和Amazon为其生成无效 URL 的软件开发工具包Amazon IoT SiteWise当您指定 VPC 终端节点时。

    重要

    您不能在中禁用主机前缀注入Amazon CLI或者Amazon Tools for PowerShell. 这意味着如果您禁用私有 DNS,则无法使用这些工具访问Amazon IoT SiteWise通过 VPC 终端节点。启用私有 DNS 以使用Amazon CLI或者Amazon Tools for PowerShell访问Amazon IoT SiteWise通过终端节点。

    有关如何禁用主机前缀注入的更多信息,请参阅AmazonSDK,请参阅 SDK 的更多信息,请参阅以下文档部分:

有关更多信息,请参阅 Amazon VPC 用户指南中的通过接口端点访问服务

为 Amazon IoT SiteWise 创建 VPC 终端节点策略

您可以为 VPC 终端节点附加控制对 Amazon IoT SiteWise 的访问的终端节点策略。该策略指定以下信息:

  • 可执行操作的委托人。

  • 可以执行的操作。

  • 可对其执行操作的资源。

有关更多信息,请参阅《Amazon VPC 用户指南》中的使用 VPC 终端节点控制对服务的访问权限

例如:的 VPC 终端节点策略Amazon IoT SiteWise行动

下面是用于 Amazon IoT SiteWise 的终端节点策略示例。当附加到终端节点时,此策略会向您授予对列出的终端节点的访问权限Amazon IoT SiteWise针对 IAM 用户的操作iotsitewiseadmin在Amazon帐户123456789012在指定的资产。

{ "Statement": [ { "Action": [ "iotsitewise:CreateAsset", "iotsitewise:ListGateways", "iotsitewise:ListTagsForResource" ], "Effect": "Allow", "Resource": "arn:aws:iotsitewise:cn-north-1:123456789012:asset/a1b2c3d4-5678-90ab-cdef-33333EXAMPLE", "Principal": { "AWS": [ "123456789012:user/iotsitewiseadmin" ] } } ] }