将 Amazon Kinesis Data Streams 与接口 VPC 终端节点结合使用 - Amazon Kinesis Data Streams
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

将 Amazon Kinesis Data Streams 与接口 VPC 终端节点结合使用

您可以使用接口 VPC 终端节点,以防止 Amazon VPC 和 Kinesis 数据流之间的流量离开 Amazon 网络。接口 VPC 终端节点不需要 Internet 网关、NAT 设备、VPN 连接或 Amazon Direct Connect 连接。接口 VPC 终端节点由AmazonPrivateLinkAmazon技术,使之间的私人通信Amazon服务,可将 elastic network interface 与 Amazon VPC 中的私有 IP 结合使用来支持服务。有关更多信息,请参阅 。Amazon Virtual Private Cloud接口 VPC 终端节点 (AmazonPrivateLink).

对 Kinesis Data Streams 使用接口 VPC 终端节点

要开始使用,您不需要更改流、创建者或用户的设置。只需创建一个接口 VPC 终端节点以使您的 Kinesis Data Streams 进出 Amazon VPC 资源,从而开始流过接口 VPC 终端节点。有关更多信息,请参阅创建接口终端节点

Kinesis Data Streams (KPL) 和 Kinesis 消费者库 (KCL) 调用Amazon服务(例如 Amazon CloudWatch 和 Amazon DynamoDB)使用公有终端节点或私有接口 VPC 终端节点(二者中在使用中的那个)。例如,如果您的 KCL 应用程序在启用了 VPC 终端节点的 DynamoDB 接口的 VPC 中运行,则 DynamoDB 和您的 KCL 应用程序流之间的调用会流过接口 VPC 终端节点。

控制对 Kinesis Data Streams 的 VPCE 终端节点的访问

借助 VPC 终端节点策略,您可以控制访问,其方式是:将策略附加到 VPC 终端节点或使用附加到 IAM 用户、组或角色的策略中的额外字段,从而限制只能通过特定 VPC 终端节点进行访问。这些策略可用于限制对特定流的访问、当与 IAM 策略共同使用时对特定 VPC 终端节点的访问,以及只能通过特定 VPC 终端节点对 Kinesis 数据流进行授权访问。

以下是用于访问 Kinesis 数据流的示例终端节点策略。

  • VPC 策略示例:只读访问-可以将示例策略附加到 VPC 终端节点。(有关更多信息,请参阅控制对 Amazon VPC 资源的访问)。它限制仅能通过其附加的 VPC 终端节点列出或描述 Kinesis 数据流。

    { "Statement": [ { "Sid": "ReadOnly", "Principal": "*", "Action": [ "kinesis:List*", "kinesis:Describe*" ], "Effect": "Allow", "Resource": "*" } ] }
  • VPC 策略示例:限制对特定 Kinesis 数据流的访问 – 此示例策略可以附加到 VPC 终端节点。它限制通过其附加的 VPC 终端节点访问特定的数据流。

    { "Statement": [ { "Sid": "AccessToSpecificDataStream", "Principal": "*", "Action": "kinesis:*", "Effect": "Allow", "Resource": "arn:aws:kinesis:us-east-1:123456789012:stream/MyStream" } ] }
  • IAM 策略示例:限制只能通过特定的 VPC 终端节点访问特定流 – 此示例策略可以附加到 IAM 用户、角色或组。它限制只能通过特定的 VPC 终端节点访问特定的 Kinesis 数据流。

    { "Version": "2012-10-17", "Statement": [ { "Sid": "AccessFromSpecificEndpoint", "Action": "kinesis:*", "Effect": "Deny", "Resource": "arn:aws:kinesis:us-east-1:123456789012:stream/MyStream", "Condition": { "StringNotEquals" : { "aws:sourceVpce": "vpce-11aa22bb" } } } ] }

适用于 Kinesis Data Streams 的 VPC 终端节点策略的可用性

以下区域支持具有策略的 Kinesis Data Streams 接口 VPC 终端节点:

  • Europe (Paris)

  • 欧洲(爱尔兰)

  • 美国东部(弗吉尼亚北部)

  • Europe (Stockholm)

  • US East (Ohio)

  • Europe (Frankfurt)

  • 南美洲(圣保罗)

  • Europe (London)

  • 亚太区域(东京)

  • 美国西部(加利福尼亚北部)

  • 亚太地区(新加坡)

  • 亚太地区(悉尼)

  • China (Beijing)

  • China (Ningxia)

  • Asia Pacific (Hong Kong)

  • Middle East (Bahrain)

  • Europe (Milan)

  • Africa (Cape Town)

  • Asia Pacific (Mumbai)

  • Asia Pacific (Seoul)

  • Canada (Central)

  • 美国西部(俄勒冈),但 USW2-az4 除外

  • Amazon GovCloud (US-East)

  • Amazon GovCloud (US-West)

  • Asia Pacific (Osaka)