本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Amazon IoT SiteWise 和接口 VPC 端点 (Amazon PrivateLink)
您可以在虚拟私有云 (VPC) 和之间建立私有连接Amazon IoT SiteWise通过创建一个接口 VPC 端点。接口端点由Amazon PrivateLink
每个接口端点均由子网中的一个或多个弹性网络接口表示。
有关更多信息,请参阅 Amazon VPC 用户指南中的接口 VPC 终端节点 (Amazon PrivateLink)。
Amazon IoT SiteWise VPC 终端节点注意事项
在为其设置接口 VPC 终端节点之前Amazon IoT SiteWise,请查看接口端点属性和限制在亚马逊 VPC 用户指南。
Amazon IoT SiteWise支持拨打以下电话Amazon IoT SiteWise来自您的 VPC 的 API 操作:
-
对于所有数据平面 API 操作,请使用以下端点。
data.iotsitewise.cn-north-1.amazonaws.com.cn
数据层面 API 操作包括BatchGetAssetPropertyValue,BatchGetAssetPropertyValueHistory,BatchPutAssetPropertyValue,GetAssetPropertyAggregates,GetAssetPropertyValue,GetAssetPropertyValueHistory和GetInterpolatedAssetPropertyValues。
-
对于用于管理资产模型、资产、网关、标签和账户配置的控制平面 API 操作,请使用以下端点。
api.iotsitewise.cn-north-1.amazonaws.com.cn
支持的控制平面 API 操作包括AssociateAssets,CreateAsset,CreateAssetModel,DeleteAsset,DeleteAssetModel,DeleteDashboard,DescribeAsset,DescribeAssetModel,DescribeAssetProperty,DescribeDashboard,DescribeLoggingOptions,DisassociateAssets,ListAssetModels,ListAssetRelationships,ListAssets,ListAssociatedAssets,PutLoggingOptions,UpdateAsset,UpdateAssetModel,UpdateAssetProperty,CreateGateway,DeleteGateway,DescribeGateway,DescribeGatewayCapabilityConfiguration,ListGateways,UpdateGateway,, DescribeDefaultEncryptionConfiguration,ListTagsForResource,PutDefaultEncryptionConfiguration,TagResource,以及UntagResource。
注意
控制平面 API 操作的接口 VPC 终端节点目前不支持调用以下内容 SiteWise 监控 API 操作:BatchAssociateProjectAssets,BatchDisassociateProjectAssets,CreateAccessPolicy,CreateDashboard,CreatePortal,CreateProject,DeleteAccessPolicy,DeletePortal,DeleteProject,DescribeAccessPolicy,DescribePortal,DescribeProject,ListAccessPolicies,ListDashboards,ListPortals,ListProjectAssets,ListProjects,UpdateAccessPolicy,UpdateDashboard,UpdatePortal,以及UpdateProject。
为 Amazon IoT SiteWise 创建接口 VPC 终端节点
您可以为创建 VPC 终端节点Amazon IoT SiteWise服务。您可以使用亚马逊 VPC 控制台或Amazon Command Line Interface(Amazon CLI)。有关更多信息,请参阅 Amazon VPC 用户指南中的创建接口端点
为创建 VPC 终端节点Amazon IoT SiteWise使用以下服务名称之一:
-
对于数据平面 API 操作,请使用以下服务名称:
com.cn.amazonaws.cn-north-1.iotsitewise.data
-
对于控制平面 API 操作,请使用以下服务名称:
com.cn.amazonaws.cn-north-1.iotsitewise.api
正在访问Amazon IoT SiteWise通过接口 VPC 终端节点
当您创建接口终端节点时,我们会生成特定于终端节点的 DNS 主机名,您可以使用这些主机名与之通信Amazon IoT SiteWise。私有 DNS 选项默认处于启用状态。有关更多信息,请参阅使用私有托管区域在亚马逊 VPC 用户指南。
如果您为终端节点启用私有 DNS,则可以向发出 API 请求Amazon IoT SiteWise通过以下 VPC 终端节点之一。
-
对于数据平面 API 操作,请使用以下端点。
data.iotsitewise.cn-north-1.amazonaws.com.cn
-
对于控制平面 API 操作,请使用以下端点。
data.iotsitewise.cn-north-1.amazonaws.com.cn
如果您为终端节点禁用私有 DNS,则必须执行以下操作才能访问Amazon IoT SiteWise通过端点:
-
在 API 请求中指定 VPC 终端节点网址。
-
对于数据层面 API 操作,请使用以下端点 URL。替换
vpc-endpoint-id
使用您的 VPC 终端节点 ID。vpc-endpoint-id
.data.iotsitewise.cn-north-1.vpce.amazonaws.com.cn -
对于控制平面 API 操作,请使用以下端点 URL。替换
vpc-endpoint-id
使用您的 VPC 终端节点 ID。vpc-endpoint-id
.api.iotsitewise.cn-north-1.vpce.amazonaws.com.cn
-
-
禁用主机前缀注入。的Amazon CLI和Amazon当您调用每个 API 操作时,SDK 会在服务端点前面加上各种主机前缀。此功能导致Amazon CLI和Amazon用于生成无效 URL 的软件开发工具包Amazon IoT SiteWise当您指定 VPC 终端节点时。
重要
您无法在中禁用主机前缀注入Amazon CLI或者Amazon Tools for PowerShell。这意味着,如果您禁用私有 DNS,则无法使用这些工具进行访问Amazon IoT SiteWise通过 VPC 终端节点。启用私有 DNS 以使用Amazon CLI或者Amazon Tools for PowerShell访问权限Amazon IoT SiteWise通过端点。
有关如何禁用主机前缀注入的更多信息,请参阅AmazonSDK,请参阅每个 SDK 的以下文档部分:
有关更多信息,请参阅 Amazon VPC 用户指南中的通过接口端点访问服务。
为 Amazon IoT SiteWise 创建 VPC 终端节点策略
您可以为 VPC 终端节点附加控制对 Amazon IoT SiteWise 的访问的终端节点策略。该策略指定以下信息:
-
可以执行操作的委托人。
-
可以执行的操作。
-
可以对其执行操作的资源。
有关更多信息,请参阅 Amazon VPC 用户指南中的使用 VPC 端点控制对服务的访问。
示例:Amazon IoT SiteWise 操作的 VPC 终端节点策略
下面是用于 Amazon IoT SiteWise 的终端节点策略示例。当连接到终端节点时,此策略授予对所列终端节点的访问权限Amazon IoT SiteWise为用户执行的操作
在Amazon Web Services 账户 iotsitewiseadmin
123456789012
在指定的资产上。
{ "Statement": [ { "Action": [ "iotsitewise:CreateAsset", "iotsitewise:ListGateways", "iotsitewise:ListTagsForResource" ], "Effect": "Allow", "Resource": "arn:aws:iotsitewise:cn-north-1:123456789012:asset/a1b2c3d4-5678-90ab-cdef-33333EXAMPLE", "Principal": { "AWS": [ "123456789012:user/iotsitewiseadmin" ] } } ] }