Amazon Lake Formation 和接口 VPC 终端节点 (Amazon PrivateLink) - Amazon Lake Formation
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon Lake Formation 和接口 VPC 终端节点 (Amazon PrivateLink)

Amazon VPC 是一项 Amazon 服务,可用来启动在虚拟网络中定义的 Amazon 资源。借助 VPC,您可以控制您的网络设置,如 IP 地址范围、子网、路由表和网络网关。

如果您使用 Amazon Virtual Private Cloud (Amazon VPC) 托管您的Amazon资源,则您可以在 VPC 和 Lake Formation 之间建立私有连接。您使用此连接以便 Lake Formation 可以与 VPC 中的资源通信而无需通过公共互联网访问。

您可以通过创建接口 VPC 终端节点在 VPC 和 Amazon Lake Formation 之间建立私有连接。接口终端节点由以下公司提供提供支持Amazon PrivateLink,该技术支持您通过私有连接访问 Lake Formation API,而无需采用互联网网关、NAT 设备、VPN 连接或Amazon Direct Connect连接。VPC 中的实例即使没有公有 IP 地址也可与 Lake Formation API 进行通信。VPC 和 Lake Formation 之间的流量不会脱离 Amazon 网络。

每个接口终端节点均由子网中的一个或多个弹性网络接口表示。

有关更多信息,请参阅 Amazon VPC 用户指南中的接口 VPC 终端节点 (Amazon PrivateLink)

Lake Formation VPC 端点的注意事项

在为 Lake Formation 设置接口 VPC 终端节点之前,请务必查看接口终端节点属性和限制中的Amazon VPC User Guide.

Lake Formation 支持从 VPC 调用它的所有 API 操作。您可以将 Lake Formation 与 VPC 终端节点一起使用。Amazon Web Services 区域同时支持 Lake Formation 和 Amazon VPC 终端节点。

为 Lake Formation 创建接口 VPC 终端节点

您可以使用 Amazon VPC 控制台或使用 Amazon VPC 控制台或为 Lake Formation Services 创建 VPC 终端节点。Amazon Command Line Interface(Amazon CLI)。有关更多信息,请参阅 Amazon VPC 用户指南.中的创建接口端点

使用以下服务名称为 Lake Formation 创建 VPC 终端节点:

  • com.amazonaws.region.lakeformation

如果为终端节点启用私有 DNS,则可以使用针对区域的默认 DNS 名称向 Lake Formation 发出 API 请求,例如:lakeformation.us-east-1.amazonaws.com.

有关更多信息,请参阅 Amazon VPC 用户指南中的通过接口端点访问服务

为 Lake Formation 创建 VPC 终端节点策略

Lake Formation 支持 VPC 终端节点策略 VPC 终端节点策略是Amazon Identity and Access Management在创建或修改终端节点时可附加到终端节点的 (IAM) 资源策略。

您可以为 VPC 终端节点附加控制对 Lake Formation 的访问的终端节点策略。该策略指定以下信息:

  • 可执行操作的委托人。

  • 可执行的操作。

  • 可对其执行操作的资源。

有关更多信息,请参阅 Amazon VPC 用户指南中的使用 VPC 终端节点控制对服务的访问

示例:Lake Formation 操作的 VPC 端点策略

下面的示例 VPC 终端节点策略允许使用 Lake Formation 权限进行凭据自动售货。您可以使用此策略使用来自 Amazon Redshift 集群或使用 Lake Formation 权限运行查询Amazon EMR位于私有子网中的集群。

{ "Statement": [ { "Effect": "Allow", "Action": "lakeformation:GetDataAccess", "Resource": "*", "Principal": "*" } ] }
注意

如果您在创建终端节点时未附加策略,则会附加一个默认策略,该策略允许对服务的完全访问。

有关更多信息,请参阅 Amazon VPC 文档中的以下主题: