将 Amazon Kinesis Data Streams 与接口 VPC 端点搭配使用 - Amazon Kinesis Data Streams
使用 Kinesis Data Streams 的接口 VPC 端点控制对 Kinesis Data Streams 的 VPC 端点的访问Kinesis Data Streams 的 VPC 端点策略的可用性
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

将 Amazon Kinesis Data Streams 与接口 VPC 端点搭配使用

您可以使用接口 VPC 端点,以防止 Amazon VPC 和 Kinesis Data Streams 之间的流量离开亚马逊网络。接口 VPC 终端节点不需要互联网网关、NAT 设备、VPN 连接或 Amazon Direct Connect 连接。接口 VPC 终端节点由一项 Amazon 技术提供支持 Amazon PrivateLink,该技术允许使用弹性网络接口在 Amazon 服务之间进行私密通信,并使用您的 Amazon VPC IPs 中的私有接口。有关更多信息,请参阅亚马逊 Virtual Private Cloud接口 VPC 终端节点 (Amazon PrivateLink)

使用 Kinesis Data Streams 的接口 VPC 端点

要开始使用,您不需要更改流、产生器或用户的设置。为 Kinesis Data Streams 创建一个接口 VPC 端点,以便进出您的 Amazon VPC 资源的流量流过接口 VPC 端点。启用 FIPS 的接口 VPC 端点适用于美国区域。有关更多信息,请参阅创建接口端点

Kinesis Producer 库 (KPL) 和 Kinesis 消费者库 (KCL) 使用公共终端节点或私有接口 VPC 终端节点(以使用者为准)调用 Amazon 亚马逊和亚马逊 CloudWatch DynamoDB 等服务。例如,如果您的 KCL 应用程序在带有启用了 VPC 端点的 DynamoDB 接口的 VPC 中运行,则 DynamoDB 和您的 KCL 应用程序之间的调用会流经接口 VPC 端点。

控制对 Kinesis Data Streams 的 VPC 端点的访问

借助 VPC 端点策略,您可以控制访问,方式是:将策略附加到 VPC 端点或使用附加到 IAM 用户、组或角色的策略中的额外字段,从而限制只能通过特定 VPC 端点进行访问。当与 IAM 策略共同使用以便仅授予通过指定 VPC 端点访问 Kinesis 数据流操作的权限时,这些策略可用于将对特定流的访问限制到指定 VPC 端点。

以下是用于访问 Kinesis 数据流的示例端点策略。

  • VPC 策略示例:只读访问 – 此示例策略可以附加到 VPC 端点。(有关更多信息,请参阅控制对 Amazon VPC 资源的访问)。它限制仅能通过其附加的 VPC 端点列出或描述 Kinesis 数据流。

    
{
  "Statement": [
    {
      "Sid": "ReadOnly",
      "Principal": "*",
      "Action": [
        "kinesis:List*",
        "kinesis:Describe*"
      ],
      "Effect": "Allow",
      "Resource": "*"
    }
  ]
}

  • VPC 策略示例:限制对特定 Kinesis 数据流的访问 – 此示例策略可以附加到 VPC 端点。它限制通过其附加的 VPC 端点访问特定的数据流。

    
{
  "Statement": [
    {
      "Sid": "AccessToSpecificDataStream",
      "Principal": "*",
      "Action": "kinesis:*",
      "Effect": "Allow",
      "Resource": "arn:aws:kinesis:us-east-1:123456789012:stream/MyStream"
    }
  ]
}

  • IAM 策略示例:限制只能通过特定的 VPC 端点访问特定流 – 此示例策略可以附加到 IAM 用户、角色或组。它限制只能通过特定的 VPC 端点访问特定的 Kinesis 数据流。

    
{
   "Version": "2012-10-17",
   "Statement": [
      {
         "Sid": "AccessFromSpecificEndpoint",
         "Action": "kinesis:*",
         "Effect": "Deny",
         "Resource": "arn:aws:kinesis:us-east-1:123456789012:stream/MyStream",
         "Condition": { "StringNotEquals" : { "aws:sourceVpce": "vpce-11aa22bb" } }
      }
   ]
}

Kinesis Data Streams 的 VPC 端点策略的可用性

以下区域支持带有策略的 Kinesis Data Streams 接口 VPC 端点:

  • 欧洲地区(巴黎)

  • 欧洲地区(爱尔兰)

  • 美国东部(弗吉尼亚州北部)

  • 欧洲地区(斯德哥尔摩)

  • 美国东部(俄亥俄州)

  • 欧洲地区(法兰克福)

  • 南美洲(圣保罗)

  • 欧洲地区(伦敦)

  • 亚太地区(东京)

  • 美国西部(加利福尼亚北部)

  • 亚太地区(新加坡)

  • 亚太地区(悉尼)

  • 中国(北京)

  • 中国(宁夏)

  • 亚太地区(香港)

  • 中东(巴林)

  • 中东(阿联酋)

  • 欧洲地区(米兰)

  • 非洲(开普敦)

  • 亚太地区(孟买)

  • 亚太地区(首尔)

  • 加拿大(中部)

  • 美国西部(俄勒冈州)(usw2-az4 除外)

  • Amazon GovCloud (美国东部)

  • Amazon GovCloud (美国西部)

  • 亚太地区(大阪)

  • 欧洲(苏黎世)

  • 亚太地区(海得拉巴)