本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
使用带有接口终端节点的 Amazon Kinesis Data Streams VPC
您可以使用接口VPC终端节点来防止您的亚马逊VPC和 Kinesis Data Streams 之间的流量离开亚马逊网络。接口VPC端点不需要互联网网关、NAT设备、VPN连接或 Amazon Direct Connect 连接。接口VPC终端节点由一种 Amazon 技术提供支持 Amazon PrivateLink,该技术允许使用弹性网络接口在 Amazon 服务之间进行私密通信,并使用您的 Amazon IPs 中的私有接口VPC。有关更多信息,请参阅 Amazon 虚拟私有云 Virtual Private Cloud 和接口VPC终端节点 (Amazon PrivateLink)。
主题
使用 Kinesis Data Streams 的接口VPC端点
要开始使用,您不需要更改流、产生器或用户的设置。为您的 Kinesis Data Streams 创建一个接口VPC终端节点,以启动通过该VPC接口终端节点流入您的VPC亚马逊资源的流量。 FIPS启用的接口VPC终端节点适用于美国区域。有关更多信息,请参阅创建接口端点。
Kinesis Pro CloudWatch ducer 库 (KPL) 和 Kinesis 使用者库 (KCL) 使用公共终端节点或私有接口终端节点(以使用者为准)调用亚马逊和亚马逊 DynamoDB Amazon 等服务。VPC例如,如果您的KCL应用程序在启用了终端节点的 DynamoDB 接口中运行,则 DynamoDB 和KCL您的应用程序之间的调用将VPC通过该接口终端节点。VPC VPC
控制 Kinesis Data VPC Streams 终端节点的访问权限
VPC端点策略允许您控制访问权限,方法是将策略附加到VPC终端节点,或者使用附加到IAM用户、组或角色的策略中的其他字段来限制只能通过指定VPC终端节点进行访问。使用这些策略将特定流的访问权限限制为指定VPC终端节点,同时使用这些IAM策略仅授予通过指定VPC终端节点访问 Kinesis 数据流操作的权限。
以下是用于访问 Kinesis 数据流的示例端点策略。
-
VPC策略示例:只读访问权限-此示例策略可以附加到VPC端点。(有关更多信息,请参阅控制对 Amazon VPC 资源的访问权限)。它将操作限制为仅列出和描述通过VPC其连接的端点的 Kinesis 数据流。
{ "Statement": [ { "Sid": "ReadOnly", "Principal": "*", "Action": [ "kinesis:List*", "kinesis:Describe*" ], "Effect": "Allow", "Resource": "*" } ] }
-
VPC策略示例:限制对特定 Kinesis 数据流的访问权限-此示例策略可以附加到端点。VPC它限制通过其连接的VPC端点访问特定数据流。
{ "Statement": [ { "Sid": "AccessToSpecificDataStream", "Principal": "*", "Action": "kinesis:*", "Effect": "Allow", "Resource": "arn:aws:kinesis:us-east-1:123456789012:stream/MyStream" } ] }
-
IAM策略示例:仅限制从特定VPC端点访问特定流 ——此示例策略可以附加到IAM用户、角色或群组。它限制只能从指定端点访问指定 Kinesis 数据流。VPC
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AccessFromSpecificEndpoint", "Action": "kinesis:*", "Effect": "Deny", "Resource": "arn:aws:kinesis:us-east-1:123456789012:stream/MyStream", "Condition": { "StringNotEquals" : { "aws:sourceVpce": "vpce-11aa22bb" } } } ] }
Kinesis Data Streams VPC 终端节点策略的可用性
以下区域支持带有策略的 Kinesis Data Streams VPC 接口终端节点:
-
欧洲地区(巴黎)
-
欧洲地区(爱尔兰)
-
美国东部(弗吉尼亚州北部)
-
欧洲地区(斯德哥尔摩)
-
美国东部(俄亥俄州)
-
欧洲地区(法兰克福)
-
南美洲(圣保罗)
-
欧洲地区(伦敦)
-
Asia Pacific (Tokyo)
-
美国西部(加利福尼亚北部)
-
亚太地区(新加坡)
-
亚太地区(悉尼)
-
中国(北京)
-
中国(宁夏)
-
亚太地区(香港)
-
中东(巴林)
-
中东 (UAE)
-
欧洲地区(米兰)
-
非洲(开普敦)
-
亚太地区(孟买)
-
亚太地区(首尔)
-
加拿大(中部)
-
美国西部(俄勒冈州)(usw2-az4 除外)
-
Amazon GovCloud (美国东部)
-
Amazon GovCloud (美国西部)
-
亚太地区(大阪)
-
欧洲(苏黎世)
-
亚太地区(海得拉巴)