Amazon Lake Formation 和接口 VPC 端点(Amazon PrivateLink)
Amazon VPC 是一项 Amazon 服务,可用来启动在虚拟网络中定义的 Amazon 资源。借助 VPC,您可以控制您的网络设置,如 IP 地址范围、子网、路由表和网络网关。
如果您使用 Amazon Virtual Private Cloud (Amazon VPC) 托管 Amazon 资源,则可以在您的 VPC 和 Lake Formation 之间建立私有连接。您可以使用此连接,以便 Lake Formation 可以与 VPC 中的资源进行通信,而无需访问公共 Internet。
您可以通过创建接口 VPC 端点在 VPC 和 Amazon Lake Formation 之间建立私有连接。接口端点由 Amazon PrivateLink
每个接口端点均由子网中的一个或多个弹性网络接口表示。
有关更多信息,请参阅《Amazon VPC 用户指南》中的接口 VPC 端点 (Amazon PrivateLink)。
Lake Formation VPC 端点的注意事项
请务必先查看《Amazon VPC 用户指南》中的接口端点属性和限制,然后再为 Lake Formation 设置接口 VPC 端点。
Lake Formation 支持从您的 VPC 调用其所有 API 操作。您可以在支持 Lake Formation 和 Amazon VPC 端点的所有 Amazon Web Services 区域中将 Lake Formation 与 VPC 端点结合使用。
为 Lake Formation 创建接口 VPC 端点
您可以使用 Amazon VPC 控制台或 Amazon Command Line Interface (Amazon CLI) 为 Lake Formation 服务创建 VPC 端点。有关更多信息,请参阅《Amazon VPC 用户指南》中的创建接口端点。
使用以下服务名称为 Lake Formation 创建 VPC 端点:
-
com.amazonaws.
region
.lakeformation
如果为端点启用私有 DNS,则可以使用该区域的默认 DNS 名称,向 Lake Formation 发送 API 请求,例如 lakeformation.us-east-1.amazonaws.com
。
有关更多信息,请参阅《Amazon VPC 用户指南》中的通过接口端点访问服务。
为 Lake Formation 创建 VPC 端点策略
Lake Formation 支持 VPC 端点策略。端点策略是一种基于资源的策略,您可以将其附加到 VPC 端点来控制哪些 Amazon 主体能使用端点访问 Amazon 服务。
您可以将端点策略附加到控制对 Lake Formation 的访问的 VPC 端点。该策略指定以下信息:
-
可执行操作的主体。
-
可执行的操作。
-
可对其执行操作的资源。
有关更多信息,请参阅《Amazon VPC 用户指南》中的使用 VPC 端点控制对服务的访问。
示例:Lake Formation 操作的 VPC 端点策略
以下 Lake Formation 的 VPC 端点策略示例允许使用 Lake Formation 权限进行凭证售卖。您可以使用此策略从位于私有子网中的 Amazon Redshift 集群或 Amazon EMR 集群使用 Lake Formation 权限运行查询。
{ "Statement": [ { "Effect": "Allow", "Action": "lakeformation:GetDataAccess", "Resource": "*", "Principal": "*" } ] }
注意
如果在创建端点时未附加策略,则会附加允许对服务进行完全访问的默认策略。
有关更多信息,请参阅《Amazon VPC 文档》中的以下主题: