本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Amazon Personalize 和接口VPC端点 (Amazon PrivateLink)
如果您使用亚马逊 Virtual Private Cloud(亚马逊VPC)托管您的 Amazon 资源,则可以在您VPC和 Amazon Personalize 之间建立私有连接。这种连接允许 Amazon Personalize 在不通过公共互联网VPC的情况下与您的资源进行通信。
Amazon VPC Amazon Web Services 服务 是您用来在您定义的虚拟私有云 (VPC) 或虚拟网络中启动 Amazon 资源的工具。使用 aVPC,您可以控制自己的网络设置,例如 IP 地址范围、子网、路由表和网络网关。对于VPC终端节点, Amazon 网络负责处理您的VPC和之间的路由 Amazon Web Services 服务。
要将您连接VPC到 Amazon Personalize,您需要为 Amazon Personalize 定义一个界面VPC终端节点。接口端点是具有私有 IP 地址的弹性网络接口,用作发送到受支持的 Amazon Web Services 服务的流量的入口点。端点提供与 Amazon Personalize 之间的可靠、可扩展的连接。它不需要互联网网关、网络地址转换 (NAT) 实例或VPN连接。有关更多信息,请参阅《亚马逊VPC用户指南》VPC中的 “什么是亚马逊”。
接口VPC端点由启用 Amazon PrivateLink。该 Amazon 技术 Amazon Web Services 服务 通过使用带有私有 IP 地址的 elastic network interface 来实现两者之间的私密通信。
注意
支持所有 Amazon Personalize 联邦信息处理标准 (FIPS) 终端节点 Amazon PrivateLink。
为 Amazon Personalize 创建接口VPC终端节点
您可以使用亚马逊VPC控制台或 Amazon Command Line Interface (Amazon CLI) 为 Amazon Personalize 服务创建VPC终端节点。有关更多信息,请参阅 Amazon VPC 用户指南中的使用接口VPC终端节点访问 Amazon 服务。
要为 Amazon Personalize 创建VPC终端节点,请为该服务选择以下选项之一:
-
com.amazonaws。
region
. 个性化 -
com.amazonaws。
region
. 个性化活动 -
com.amazonaws。
region
.personalize 运行时
例如,如果您DNS为终端节点启用私有功能,则可以使用该区域的默认DNS名称向 Amazon Personalize API 提出请求personalize.us-east-1.amazonaws.com
。
为 Amazon Personalize 创建VPC终端节点政策
您可以将终端节点策略附加到控制对 Amazon Personalize 的访问权限的VPC终端节点。该策略指定以下信息:
-
可执行操作的主体。
-
可执行的操作。
-
可对其执行操作的资源。
有关更多信息,请参阅 Amazon VPC 用户指南中的使用VPC终端节点控制对服务的访问。
示例:允许所有 Amazon Personalize 操作和passRole操作的VPC终端节点政策
当连接到终端节点时,此政策授予访问所有 Amazon Personalize 操作和 passRole 操作的权限。
{ "Statement": [ { "Principal": "*", "Effect": "Allow", "Action": [ "
personalize
:*", "iam
:PassRole
" ], "Resource": "*" } ] }
示例:允许亚马逊 Personalize ListDatasets 操作的VPC终端节点策略
当关联到终端节点时,此政策授予访问列出的 Amazon Personalize ListDatasets 操作的权限。
{ "Statement": [ { "Principal": "*", "Effect": "Allow", "Action": [ "
personalize
:ListDatasets
" ], "Resource": "*" } ] }