La API de Amazon RDS y los puntos de enlace de la VPC de tipo interfaz (AWS PrivateLink)
Puede establecer una conexión privada entre los puntos de enlace de la VPC y la API de Amazon RDS mediante la creación de un punto de enlace de la VPC de tipo interfaz. Puntos de enlace de tipo interfaz con tecnología de AWS PrivateLink
AWS PrivateLink permite acceder de forma privada a las operaciones de la API de Amazon RDS sin una puerta de enlace de Internet, un dispositivo NAT, una conexión de VPN o una conexión de AWS Direct Connect. Las instancias de bases de datos de su VPC no necesitan direcciones IP públicas para comunicarse con los puntos de conexión de la API de Amazon RDS para lanzar, modificar o terminar instancias de base de datos. Las instancias de bases de datos tampoco necesitan direcciones IP públicas para utilizar ninguna de las operaciones de la API de RDS disponibles. El tráfico entre la VPC y Amazon RDS no sale de la red de Amazon.
Cada punto de enlace de la interfaz está representado por una o más interfaces de red elásticas en las subredes. Para obtener más información sobre las interfaces de red elásticas, consulte Interfaces de red elásticas en la Guía del usuario de Amazon EC2.
Para obtener más información sobre puntos de enlace de la VPC, consulte Puntos de enlace de la VPC de tipo interfaz (AWS PrivateLink) en la Guía del usuario de Amazon VPC. Para obtener información sobre las operaciones de la API de RDS, consulte la referencia de la API de Amazon RDS.
No necesita un punto de conexión de VPC de la interfaz para conectarse con una instancia de base de datos. Para obtener más información, consulte Escenarios de acceso a una instancia de base de datos en una VPC.
Consideraciones para los puntos de enlace de VPC
Antes de configurar un punto de enlace de la VPC de tipo interfaz para los puntos de enlace de la API de Amazon RDS, asegúrese de revisar Propiedades y limitaciones de puntos de enlace de interfaz en la Guía del usuario de Amazon VPC.
Todas las operaciones de la API de RDS relevantes para la administración de los recursos de Amazon RDS están disponibles desde la VPC mediante el uso de AWS PrivateLink.
Las políticas de puntos de enlace de VPC son compatibles con los puntos de enlace de API de RDS. De forma predeterminada, se permite el acceso completo a las operaciones de API de RDS a través del punto de enlace. Para obtener más información, consulte Control del acceso a los servicios con puntos de enlace de la VPC en la guía del usuario de Amazon VPC.
Disponibilidad
La API de Amazon RDS actualmente admite puntos de enlace de la VPC en las siguientes regiones de AWS:
US East (Ohio)
Este de EE. UU. (Norte de Virginia)
Oeste de EE. UU. (Norte de California)
Oeste de EE. UU. (Oregón)
África (Ciudad del Cabo)
Asia-Pacífico (Hong Kong)
Asia-Pacífico (Bombay)
Asia-Pacífico (Osaka)
Asia-Pacífico (Seúl)
Asia-Pacífico (Singapur)
Asia-Pacífico (Sídney)
Asia-Pacífico (Tokio)
Canadá (centro)
Oeste de Canadá (Calgary
China (Pekín)
China (Ningxia)
Europa (Fráncfort)
Europa (Zúrich)
Europa (Irlanda)
Europa (Londres)
Europa (París)
Europa (Estocolmo)
Europa (Milán)
Israel (Tel Aviv)
Medio Oriente (Baréin)
América del Sur (São Paulo)
AWS GovCloud (Este de EE. UU.)
AWS GovCloud (EE. UU. Oeste)
Creación de un punto de enlace de la VPC de interfaz para Amazon RDS API
Puede crear un punto de enlace de la VPC para la API de Amazon RDS mediante la consola de Amazon VPC o AWS Command Line Interface (AWS CLI). Para más información, consulte Creación de un punto de conexión de interfaz en la Guía del usuario de Amazon VPC.
Cree un punto de enlace de la VPC para Amazon RDS API mediante el uso del nombre del servicio com.amazonaws..region.rds
Salvo en las regiones de AWS en China, si habilita un DNS privado para el punto de enlace, podrá realizar solicitudes de la API a Amazon RDS con el punto de enlace de la VPC mediante el nombre de DNS predeterminado de la región de AWS, por ejemplo rds.us-east-1.amazonaws.com. En las regiones de China (Pekín) y China (Ningxia) de AWS, puede realizar solicitudes de la API con el punto de enlace de la VPC mediante rds-api---cn-north-1.amazonaws.com.rproxy.goskope.com.cn y rds-api---cn-northwest-1.amazonaws.com.rproxy.goskope.com.cn, respectivamente.
Para más información, consulte Acceso a un servicio a través de un punto de conexión de interfaz en la Guía del usuario de Amazon VPC.
Creación de una política de punto de enlace de la VPC para la Amazon RDS API
Puede asociar una política de punto de enlace con el punto de enlace de la VPC que controla el acceso a la Amazon RDS API. La política especifica la siguiente información:
-
La entidad principal que puede realizar acciones.
-
Las acciones que se pueden realizar.
-
Los recursos en los que se pueden llevar a cabo las acciones.
Para obtener más información, consulte Control del acceso a los servicios con puntos de enlace de la VPC en la guía del usuario de Amazon VPC.
Ejemplo: política de punto de enlace de la VPC para acciones de la Amazon RDS API
A continuación, se muestra un ejemplo de una política de punto de enlace para la Amazon RDS API. Cuando se asocia a un punto de enlace, esta política concede acceso a las acciones de la Amazon RDS API enumeradas para todos las entidades principales de todos los recursos.
{ "Statement":[ { "Principal":"*", "Effect":"Allow", "Action":[ "rds:CreateDBInstance", "rds:ModifyDBInstance", "rds:CreateDBSnapshot" ], "Resource":"*" } ] }
Ejemplo: política de punto de enlace de la VPC que deniega todo el acceso desde una cuenta de AWS especificada
La siguiente política de punto de enlace de la VPC deniega a la cuenta de AWS 123456789012 todo el acceso a los recursos mediante el punto de enlace. La política permite todas las acciones de otras cuentas.
{ "Statement": [ { "Action": "*", "Effect": "Allow", "Resource": "*", "Principal": "*" }, { "Action": "*", "Effect": "Deny", "Resource": "*", "Principal": { "AWS": [ "123456789012" ] } } ] }
