将 Amazon Kinesis Data Streams 与接口 VPC 终端节点结合使用 - Amazon Kinesis Data Streams
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

将 Amazon Kinesis Data Streams 与接口 VPC 终端节点结合使用

您可以使用接口 VPC 终端节点,以防止 Amazon VPC 和 Kinesis 数据流之间的流量离开 Amazon 网络。接口 VPC 终端节点不需要 Internet 网关、NAT 设备、VPN 连接或 AWS Direct Connect 连接。接口 VPC 终端节点由 AWS PrivateLink 提供支持,后者是一项 AWS 技术,可将 elastic network interface 与 Amazon VPC 中的私有 IP 地址结合使用来支持 AWS 服务之间的私有通信。有关更多信息,请参阅 。Amazon Virtual Private Cloud接口 VPC 终端节点 (AWS PrivateLink)

将接口 VPC 终端节点用于 Kinesis Data Streams

要开始使用,您不需要更改流、创建者或用户的设置。只需创建一个 VPC 终端节点以使您的 Kinesis Data Streams 量进出 Amazon VPC 资源,从而开始流过接口 VPC 终端节点。有关更多信息,请参阅创建接口终端节点

Kinesis Consumer Library (KPL) 和 Kinesis Consumer Library (KCL) 使用共有终端节点或私有接口 VPC 终端节点 (二者中在使用中的那个) 调用 AWS 服务 (例如 Amazon CloudWatch 和 Amazon DynamoDB)。例如,如果您的 KCL 应用程序在启用了 VPC 终端节点的 DynamoDB 接口的 VPC 中运行,则 DynamoDB 和 KCL 应用程序之间的调用会流过接口 VPC 终端节点。

控制对 Kinesis Data Streams 的 VPCE 终端节点的访问

借助 VPC 终端节点策略,您可以控制访问,其方式是:将策略附加到 VPC 终端节点或使用附加到 IAM 用户、组或角色的策略中的额外字段,从而限制只能通过特定 VPC 终端节点进行访问。这些策略可用于限制对特定流的访问、当与 IAM 策略共同使用时对特定 VPC 终端节点的访问,以及只能通过特定 VPC 终端节点对 Kinesis 数据流进行授权访问。

以下是用于访问 Kinesis 数据流的示例终端节点策略。

  • VPC 策略示例:只读访问— 此示例策略可以附加到 VPC 终端节点。(有关更多信息,请参阅控制对 Amazon VPC 资源的访问)。它限制仅能通过其附加的 VPC 终端节点列出或描述 Kinesis 数据流。

    { "Statement": [ { "Sid": "ReadOnly", "Principal": "*", "Action": [ "kinesis:List*", "kinesis:Describe*" ], "Effect": "Allow", "Resource": "*" } ] }
  • VPC 策略示例:限制对特定 Kinesis 数据流的访问 – 此示例策略可以附加到 VPC 终端节点。它限制通过其附加的 VPC 终端节点访问特定的数据流。

    { "Statement": [ { "Sid": "AccessToSpecificDataStream", "Principal": "*", "Action": "kinesis:*", "Effect": "Allow", "Resource": "arn:aws:kinesis:us-east-1:123456789012:stream/MyStream" } ] }
  • IAM 策略示例:限制只能通过特定的 VPC 终端节点访问特定流 – 此示例策略可以附加到 IAM 用户、角色或组。它限制只能通过特定的 VPC 终端节点访问特定的 Kinesis 数据流。

    { "Version": "2012-10-17", "Statement": [ { "Sid": "AccessFromSpecificEndpoint", "Action": "kinesis:*", "Effect": "Deny", "Resource": "arn:aws:kinesis:us-east-1:123456789012:stream/MyStream", "Condition": { "StringNotEquals" : { "aws:sourceVpce": "vpce-11aa22bb" } } } ] }

Kinesis Data Streams 的 VPC 终端节点策略的可用性

以下区域支持具有策略的 Kinesis Data Streams 接口 VPC 终端节点:

  • 欧洲(巴黎)

  • 欧洲(爱尔兰)

  • 美国东部(弗吉尼亚北部)

  • 欧洲(斯德哥尔摩)

  • 美国东部(俄亥俄)

  • 欧洲(法兰克福)

  • 南美洲(圣保罗)

  • 欧洲(伦敦)

  • 亚太区域(东京)

  • 美国西部(加利福尼亚北部)

  • 亚太地区(新加坡)

  • 亚太地区(悉尼)

  • 中国(北京)

  • 中国 (宁夏)

  • 亚太地区(香港)

  • 中东(巴林)

  • 欧洲(米兰)

  • 非洲(开普敦)

  • 亚太地区 (孟买)

  • 亚太地区(首尔)

  • 加拿大 (中部)

  • 美国西部(俄勒冈),但 USw2-az4 除外

  • AWS GovCloud(美国东部)

  • AWS GovCloud(美国西部)

  • 亚太地区(大阪)