Überlegungen Verfügbarkeit Erstellen eines Schnittstellen-VPC-Endpunkts Erstellen einer VPC-Endpunktrichtlinie

Amazon-RDS-API und Schnittstellen-VPC-Endpunkte (AWS PrivateLink)

Sie können eine private Verbindung zwischen Ihrer VPC und Amazon-RDS-API-Endpunkten herstellen, indem Sie einen Schnittstellen-VPC-Endpunkt erstellen. Schnittstellenendpunkte werden von unterstütz AWS PrivateLink.

AWS PrivateLink ermöglicht Ihnen den privaten Zugriff auf Amazon RDS-API-Operationen ohne Internet-Gateway, NAT-Gerät, VPN-Verbindung oder AWS Direct Connect Verbindung. DB-Instances in Ihrer VPC benötigen keine öffentlichen IP-Adressen für die Kommunikation mit Amazon-RDS-API-Endpunkten, um DB-Instances und DB-Cluster zu starten, zu ändern oder zu beenden. Ihre DB-Instances benötigen auch keine öffentlichen IP-Adressen, um beliebige der verfügbaren RDS-API-Operationen zu verwenden. Der Datenverkehr zwischen der VPC und Amazon RDS verlässt das Amazon-Netzwerk nicht.

Jeder Schnittstellenendpunkt wird durch eine oder mehrere Elastic Network-Schnittstellen in Ihren Subnetzen dargestellt. Weitere Informationen zu Elastic Network-Schnittstellen finden Sie unter Elastic Network-Schnittstellen im Amazon EC2 Benutzerhandbuch.

Weitere Informationen zu VPC-Endpunkten finden Sie unter Interface VPC Endpoints (AWS PrivateLink) im Amazon VPC-Benutzerhandbuch. Weitere Informationen zu RDS-API-Operationen finden Sie in der Amazon-RDS-API-Referenz.

Sie benötigen keinen Schnittstellen-VPC-Endpunkt, um eine Verbindung zu einer DB-Instance herzustellen. Weitere Informationen finden Sie unter Szenarien für den Zugriff auf eine DB-Instance in einer VPC.

Überlegungen zu VPC-Endpunkten

Bevor Sie einen Schnittstellen-VPC-Endpunkt für Amazon RDS-API-Endpunkte einrichten, stellen Sie sicher, dass Sie die Eigenschaften und Einschränkungen des Schnittstellenendpunkts im Amazon VPC Benutzerhandbuch einsehen.

Alle RDS-API-Operationen, die für die Verwaltung von Amazon-RDS-Ressourcen relevant sind, sind mit AWS PrivateLinküber Ihre VPC verfügbar.

VPC-Endpunktrichtlinien werden für RDS-API-Endpunkte unterstützt. Standardmäßig ist der vollständige Zugriff auf RDS-API-Operationen über den Endpunkt zulässig. Weitere Informationen finden Sie unter Steuerung des Zugriffs auf Services mit VPC-Endpunkten im Amazon VPC Benutzerhandbuch.

Verfügbarkeit

Die Amazon RDS-API unterstützt derzeit VPC-Endpunkte in den folgenden Regionen: AWS

US East (Ohio)
USA Ost (Nord-Virginia)
USA West (Nordkalifornien)
USA West (Oregon)
Africa (Cape Town)
Asia Pacific (Hong Kong)
Asia Pacific (Mumbai)
Asia Pacific (Osaka)
Asia Pacific (Seoul)
Asien-Pazifik (Singapur)
Asien-Pazifik (Sydney)
Asien-Pazifik (Tokio)
Canada (Central)
Kanada West (Calgary)
China (Peking)
China (Ningxia)
Europa (Frankfurt)
Europa (Zürich)
Europa (Irland)
Europe (London)
Europe (Paris)
Europe (Stockholm)
Europa (Milan)
Israel (Tel Aviv)
Naher Osten (Bahrain)
Südamerika (São Paulo)
AWS GovCloud (US-Ost)
AWS GovCloud (US-West)

Erstellen eines Schnittstellen-VPC-Endpunkts für die Amazon RDS-API

Sie können einen VPC-Endpunkt für die Amazon RDS-API entweder mit der Amazon VPC-Konsole oder mit AWS Command Line Interface ()AWS CLI erstellen. Weitere Informationen finden Sie unter Erstellung eines Schnittstellenendpunkts im Amazon VPC Benutzerhandbuch.

Erstellen Sie einen VPC-Endpunkt für die Amazon RDS-API unter Verwendung des Servicenamens com.amazonaws.region.rds.

Mit Ausnahme von AWS Regionen in China können Sie, wenn Sie privates DNS für den Endpunkt aktivieren, API-Anfragen an Amazon RDS mit dem VPC-Endpunkt stellen, indem Sie beispielsweise rds.us-east-1.amazonaws.com dessen Standard-DNS-Namen für die AWS Region verwenden. Für die AWS Regionen China (Peking) und China (Ningxia) können Sie API-Anfragen mit dem VPC-Endpunkt jeweils mit rds-api---cn-north-1.amazonaws.com.rproxy.goskope.com.cn und rds-api---cn-northwest-1.amazonaws.com.rproxy.goskope.com.cn stellen.

Weitere Informationen finden Sie unter Zugriff auf einen Service über einen Schnittstellenendpunkt im Amazon VPC Benutzerhandbuch.

Erstellen einer VPC-Endpunktrichtlinie für die Amazon RDS-API

Sie können eine Endpunktrichtlinie an Ihren VPC-Endpunkt anhängen, der den Zugriff auf die Amazon RDS-API steuert. Die Richtlinie gibt die folgenden Informationen an:

Prinzipal, der die Aktionen ausführen kann.
Aktionen, die ausgeführt werden können
Die Ressourcen, für die Aktionen ausgeführt werden können.

Weitere Informationen finden Sie unter Steuerung des Zugriffs auf Services mit VPC-Endpunkten im Amazon VPC Benutzerhandbuch.

Beispiel: VPC-Endpunktrichtlinie für Amazon RDS-API-Aktionen

Im Folgenden finden Sie ein Beispiel für eine Endpunktrichtlinie für die Amazon RDS-API. Wenn diese Richtlinie an einen Endpunkt angefügt wird, gewährt sie Zugriff auf die aufgelisteten Amazon RDS-API-Aktionen für alle Prinzipale auf allen Ressourcen.


{
   "Statement":[
      {
         "Principal":"*",
         "Effect":"Allow",
         "Action":[
            "rds:CreateDBInstance",
            "rds:ModifyDBInstance",
            "rds:CreateDBSnapshot"
         ],
         "Resource":"*"
      }
   ]
}

Beispiel: VPC-Endpunktrichtlinie, die jeglichen Zugriff von einem bestimmten Konto aus verweigert AWS

Die folgende VPC-Endpunktrichtlinie verweigert dem AWS Konto 123456789012 jeglichen Zugriff auf Ressourcen, die den Endpunkt verwenden. Die Richtlinie erlaubt alle Aktionen von anderen Konten.


{
  "Statement": [
    {
      "Action": "*",
      "Effect": "Allow",
      "Resource": "*",
      "Principal": "*"
    },
    {
      "Action": "*",
      "Effect": "Deny",
      "Resource": "*",
      "Principal": { "AWS": [ "123456789012" ] }
     }
   ]
}

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Sicherheit der Infrastruktur

Bewährte Methoden für die Gewährleistung der Sicherheit