将 Amazon Kinesis Data Streams 和接口 VPC - Amazon Kinesis Data Streams
使用接口 VPC 终端节点控制 Kinesis Data Streams 对 VPCE 端点的访问权限Kinesis Data Streams 的实践 VPC 终端实践
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

将 Amazon Kinesis Data Streams 和接口 VPC

您可以使用接口 VPC 终端节点,以防止 Amazon VPC 和 Kinesis Data Streams 之间的流量离开 Amazon 网络。接口 VPC 终端节点不需要 Internet 网关、NAT 设备、VPN 连接或 Amazon Direct Connect 连接。接口 VPC 终端节点由提供支持Amazon PrivateLink,后者是一种Amazon技术,可将elastic network interface 与 Amazon VPC 中的私有 IP 提供支持Amazon服务之间的私有通信。有关更多信息,请参阅 Amazon Virtual Private Cloud接口 VPC 终端节点 (Amazon PrivateLink)

使用接口 VPC 终端节点

要开始使用,您不需要更改流、创建者或用户的设置。只需创建接口 VPC 终端节点,您的 Kinesis Data Streams 流量即可开始流经接口 VPC 终端节点。有关更多信息,请参阅创建接口终端节点

Kinesis Produdier Library (KPL) 和 KKinesis on Library (KCL) 使用公有终端节点或私有接口 VPC 终端节点(二者中正在使用的那个)调用亚马逊 CloudWatch 和Amazon DynamoDB 等Amazon服务。例如,如果您的 KCL 应用程序在启用了 VPC 终端节点的 DynamoDB 接口的 VPC 中运行,则 DynamoDB 和您的 KCL 应用程序之间的呼叫将流经接口 VPC 终端节点。

控制 Kinesis Data Streams 对 VPCE 端点的访问权限

借助 VPC 终端节点策略,您可以控制访问,其方式是:将策略附加到 VPC 终端节点或使用附加到 IAM 用户、组或角色的策略中的额外字段,从而限制只能通过特定 VPC 终端节点进行访问。这些策略可用于限制对特定流的访问、当与 IAM 策略共同使用时对特定 VPC 终端节点的访问,以及只能通过特定 VPC 终端节点对 Kinesis 数据流进行授权访问。

以下是用于访问 Kinesis 数据流的示例终端节点策略。

  • VPC 策略示例:只读访问权限-此示例策略可以附加到 VPC 终端节点。(有关更多信息,请参阅控制对 Amazon VPC 资源的访问)。它限制仅能通过其附加的 VPC 终端节点列出或描述 Kinesis 数据流。

    
{
  "Statement": [
    {
      "Sid": "ReadOnly",
      "Principal": "*",
      "Action": [
        "kinesis:List*",
        "kinesis:Describe*"
      ],
      "Effect": "Allow",
      "Resource": "*"
    }
  ]
}

  • VPC 策略示例:限制对特定 Kinesis 数据流的访问 – 此示例策略可以附加到 VPC 终端节点。它限制通过其附加的 VPC 终端节点访问特定的数据流。

    
{
  "Statement": [
    {
      "Sid": "AccessToSpecificDataStream",
      "Principal": "*",
      "Action": "kinesis:*",
      "Effect": "Allow",
      "Resource": "arn:aws:kinesis:us-east-1:123456789012:stream/MyStream"
    }
  ]
}

  • IAM 策略示例:限制只能通过特定的 VPC 终端节点访问特定流 – 此示例策略可以附加到 IAM 用户、角色或组。它限制只能通过特定的 VPC 终端节点访问特定的 Kinesis 数据流。

    
{
   "Version": "2012-10-17",
   "Statement": [
      {
         "Sid": "AccessFromSpecificEndpoint",
         "Action": "kinesis:*",
         "Effect": "Deny",
         "Resource": "arn:aws:kinesis:us-east-1:123456789012:stream/MyStream",
         "Condition": { "StringNotEquals" : { "aws:sourceVpce": "vpce-11aa22bb" } }
      }
   ]
}

Kinesis Data Streams 的实践 VPC 终端实践

以下区域支持带有策略的 Kinesis Data Streams 接口 VPC 终端节点:

  • 欧洲(巴黎)

  • 欧洲(爱尔兰)

  • 美国东部(弗吉尼亚州北部)

  • 欧洲(斯德哥尔摩)

  • 美国东部(俄亥俄州)

  • 欧洲(法兰克福)

  • 南美洲(圣保罗)

  • 欧洲(伦敦)

  • 亚太地区(东京)

  • 美国西部(北加利福尼亚)

  • 亚太地区(新加坡)

  • 亚太地区(悉尼)

  • 中国(北京)

  • China (Ningxia)

  • 亚太地区(香港)

  • 中东(巴林)

  • 中东(阿联酋)

  • 欧洲(米兰)

  • 非洲(开普敦)

  • 亚太地区(孟买)

  • 亚太地区(首尔)

  • 加拿大(中部)

  • 美国西部(俄勒冈)除了 usw2-az4

  • Amazon GovCloud (美国东部)

  • Amazon GovCloud (美国西部)

  • 亚太地区(大阪)

  • 欧洲(苏黎世)

  • 亚太地区(海得拉巴)