本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Amazon IoT SiteWise 和接口 VPC 终端节点 (Amazon PrivateLink)
您可以在您的虚拟专用云 (VPC) 与Amazon IoT SiteWise通过创建接口 VPC 终端节点. 接口终端节点由以下公司提供提供支持Amazon PrivateLink
每个接口端点均由子网中的一个或多个弹性网络接口表示。
有关更多信息,请参阅 Amazon VPC 用户指南中的接口 VPC 终端节点 (Amazon PrivateLink)。
Amazon IoT SiteWise VPC 终端节点注意事项
在您为设置接口 VPC 终端节点之前Amazon IoT SiteWise,查看接口终端节点属性和限制中的Amazon VPC User Guide.
Amazon IoT SiteWise支持拨打以下电话Amazon IoT SiteWise您的 VPC 中的 API 操作:
-
对于所有数据平面 API 操作,请使用以下端点。
data.iotsitewise.cn-north-1.amazonaws.com.cn数据层面 API 操作包括BatchPutAssetPropertyValue、GetAssetPropertyAggregates、GetAssetPropertyValue、GetAssetPropertyValueHistory和GetInterpolatedAssetPropertyValues.
-
对于用于管理资产模型、资产、网关、标签和账户配置的控制平面 API 操作,请使用以下端点。
api.iotsitewise.cn-north-1.amazonaws.com.cn支持的控制平面 API 操作包括AssociateAssets、CreateAsset、CreateAssetModel、DeleteAsset、DeleteAssetModel、DeleteDashboard、DescribeAsset、DescribeAssetModel、DescribeAssetProperty、DescribeDashboard、DescribeLoggingOptions、DisassociateAssets、ListAssetModels、ListAssetRelationships、ListAssets、ListAssociatedAssets、PutLoggingOptions、UpdateAsset、UpdateAssetModel、UpdateAssetProperty、CreateGateway、DeleteGateway、DescribeGateway、DescribeGatewayCapabilityConfiguration、ListGateways、UpdateGateway、、 DescribeDefaultEncryptionConfiguration、ListTagsForResource、PutDefaultEncryptionConfiguration、TagResource, 和UntagResource.
注意 用于控制平面 API 操作的接口 VPC 终端节点目前不支持调用以下内容 SiteWise 监控 API 操作:BatchAssociateProjectAssets、BatchDisassociateProjectAssets、CreateAccessPolicy、CreateDashboard、CreatePortal、CreateProject、DeleteAccessPolicy、DeletePortal、DeleteProject、DescribeAccessPolicy、DescribePortal、DescribeProject、ListAccessPolicies、ListDashboards、ListPortals、ListProjectAssets、ListProjects、UpdateAccessPolicy、UpdateDashboard、UpdatePortal, 和UpdateProject.
为 Amazon IoT SiteWise 创建接口 VPC 终端节点
您可以为创建 VPC 终端节点Amazon IoT SiteWise服务。您可以使用 Amazon VPC 控制台或Amazon Command Line Interface(Amazon CLI)。有关更多信息,请参阅 Amazon VPC 用户指南.中的创建接口端点
为 创建 VPC 终端节点Amazon IoT SiteWise通过使用以下服务名称之一:
-
对于数据平面 API 操作,请使用以下服务名称:
com.cn.amazonaws.cn-north-1.iotsitewise.data -
对于控制平面 API 操作,请使用以下服务名称:
com.cn.amazonaws.cn-north-1.iotsitewise.api
访问Amazon IoT SiteWise通过接口 VPC 终端节点
当您创建接口终端节点时,我们将生成您可用于通信的终端节点特定 DNS 主机名Amazon IoT SiteWise. 默认情况下,将启用私有 DNS 选项。有关更多信息,请参阅 。使用私有托管区域中的Amazon VPC User Guide.
如果为终端节点启用私有 DNS,则可以向其发出 API 请求Amazon IoT SiteWise通过以下 VPC 终端节点之一。
-
对于数据平面 API 操作,请使用以下端点。
data.iotsitewise.cn-north-1.amazonaws.com.cn -
对于控制平面 API 操作,请使用以下端点。
data.iotsitewise.cn-north-1.amazonaws.com.cn
如果禁用终端节点的私有 DNS,则必须执行以下操作才能访问Amazon IoT SiteWise通过终端节点:
-
在 API 请求中指定 VPC 终端节点网址。
-
对于数据平面 API 操作,请使用以下端点 url。Replace
vpc-endpoint-id使用您的 VPC 终端节点 ID.vpc-endpoint-id.data.iotsitewise.cn-north-1.vpce.amazonaws.com.cn -
对于控制平面 API 操作,请使用以下端点 url。Replace
vpc-endpoint-id使用您的 VPC 终端节点 ID.vpc-endpoint-id.api.iotsitewise.cn-north-1.vpce.amazonaws.com.cn
-
-
禁用主机前缀注入。这些区域有:Amazon CLI和Amazon当您调用每个 API 操作时,SDK 会在服务终端节点前面加上各种主机前缀。此功能会导致Amazon CLI和Amazon为其生成无效 URL 的软件开发工具包Amazon IoT SiteWise当您指定 VPC 终端节点时。
重要 您不能在中禁用主机前缀注入Amazon CLI或者Amazon Tools for PowerShell. 这意味着如果您禁用私有 DNS,则无法使用这些工具访问Amazon IoT SiteWise通过 VPC 终端节点。启用私有 DNS 以使用Amazon CLI或者Amazon Tools for PowerShell访问Amazon IoT SiteWise通过终端节点。
有关如何禁用主机前缀注入的更多信息,请参阅AmazonSDK,请参阅 SDK 的更多信息,请参阅以下文档部分:
有关更多信息,请参阅 Amazon VPC 用户指南中的通过接口端点访问服务。
为 Amazon IoT SiteWise 创建 VPC 终端节点策略
您可以为 VPC 终端节点附加控制对 Amazon IoT SiteWise 的访问的终端节点策略。该策略指定以下信息:
-
可执行操作的委托人。
-
可以执行的操作。
-
可对其执行操作的资源。
有关更多信息,请参阅《Amazon VPC 用户指南》中的使用 VPC 终端节点控制对服务的访问权限。
例如:的 VPC 终端节点策略Amazon IoT SiteWise行动
下面是用于 Amazon IoT SiteWise 的终端节点策略示例。当附加到终端节点时,此策略会向您授予对列出的终端节点的访问权限Amazon IoT SiteWise针对 IAM 用户的操作iotsitewiseadmin123456789012在指定的资产。
{ "Statement": [ { "Action": [ "iotsitewise:CreateAsset", "iotsitewise:ListGateways", "iotsitewise:ListTagsForResource" ], "Effect": "Allow", "Resource": "arn:aws:iotsitewise:cn-north-1:123456789012:asset/a1b2c3d4-5678-90ab-cdef-33333EXAMPLE", "Principal": { "AWS": [ "123456789012:user/iotsitewiseadmin" ] } } ] }