Consideraciones para los puntos de conexión de VPC de Disponibilidad por región Creación de un punto de conexión de VPC de interfaz para la API de Amazon DocumentDB Creación de una política de punto de conexión de VPC para la API de Amazon DocumentDB

API de Amazon DocumentDB y puntos de conexión de VPC de interfaz (AWS PrivateLink)

Puede establecer una conexión privada entre los puntos de conexión de VPC y la API de Amazon DocumentDB mediante la creación de un punto de conexión de VPC de interfaz. Puntos de enlace de tipo interfaz con tecnología de AWS PrivateLink.

Si bien los clústeres de Amazon DocumentDB no requieren una conexión de puntos de conexión de VPC de interfaz, AWS PrivateLink le permite acceder de forma privada a las operaciones de la API de Amazon DocumentDB sin una puerta de enlace de Internet, un dispositivo NAT, una conexión VPN o una conexión de AWS Direct Connect. Las instancias de Amazon DocumentDB de su VPC no necesitan direcciones IP públicas para comunicarse con los puntos de conexión de la API de Amazon DocumentDB para lanzar, modificar o terminar instancias de base de datos y clústeres de base de datos. Las instancias de Amazon DocumentDB tampoco necesitan direcciones IP públicas para utilizar ninguna de las operaciones de la API de Amazon DocumentDB disponibles. El tráfico entre la VPC y Amazon DocumentDB no sale de la red de Amazon.

Cada punto de conexión de la interfaz está representado por una o más interfaces de redes elásticas en las subredes. Para obtener más información, consulte Interfaces de red elásticas en la Guía del usuario de Amazon EC2.

Para obtener más información sobre los puntos de conexión de VPC, consulte Acceda a un Servicio de AWS mediante un punto de conexión de VPC de interfaz en la Guía del usuario de Amazon Virtual Private Cloud (AWS PrivateLink). Para obtener más información sobre las operaciones de Amazon DocumentDB, consulte Referencia de la API para la administración de recursos, instancias y clústeres de Amazon DocumentDB.

Temas

Consideraciones para los puntos de conexión de VPC de
Disponibilidad por región
Creación de un punto de conexión de VPC de interfaz para la API de Amazon DocumentDB
Creación de una política de punto de conexión de VPC para la API de Amazon DocumentDB

Consideraciones para los puntos de conexión de VPC de

Antes de configurar un punto de conexión de VPC de tipo interfaz para los puntos de conexión de la API de Amazon DocumentDB, asegúrese de revisar los requisitos previos del puntos de conexión de interfaz en la Guía del usuario de nube privada virtual (AWS PrivateLink) de Amazon.

Todas las operaciones de API de Amazon DocumentDB pertinentes de la administración de recursos de Amazon DocumentDB están disponibles desde la VPC mediante el uso de AWS PrivateLink.

Las políticas de puntos de conexión de VPC son compatibles con los puntos de conexión de API de Amazon DocumentDB. De forma predeterminada, se permite el acceso completo a las operaciones de API de Amazon DocumentDB a través del punto de conexión. Para obtener más información, consulte Uso de políticas de punto de conexión para controlar el acceso a puntos de conexión de VPC en la Guía del usuario de Amazon Virtual Private Cloud (AWS PrivateLink).

Disponibilidad por región

La API de Amazon DocumentDB actualmente admite puntos de conexión de VPC en las siguientes Regiones de AWS:

US East (Ohio)
Este de EE. UU. (Norte de Virginia)
Oeste de EE. UU. (Oregón)
África (Ciudad del Cabo)
Asia-Pacífico (Hong Kong)
Asia-Pacífico (Mumbai)
Asia-Pacífico (Hyderabad)
Asia-Pacífico (Osaka)
Asia-Pacífico (Seúl)
Asia-Pacífico (Singapur)
Asia-Pacífico (Sídney)
Asia-Pacífico (Tokio)
Canadá (centro)
China (Pekín)
China (Ningxia)
Europa (Fráncfort)
Europa (Irlanda)
Europa (Londres)
Europa (París)
Europa (España)
Europa (Milán)
Oriente Medio (EAU)
América del Sur (São Paulo)
AWS GovCloud (Este de EE. UU.)
AWS GovCloud (Oeste de EE. UU.)

Creación de un punto de conexión de VPC de interfaz para la API de Amazon DocumentDB

Puede crear un punto de conexión de VPC para la API de Amazon DocumentDB mediante la consola de Amazon VPC o desde la AWS Command Line Interface (AWS CLI). Para obtener más información, consulte Acceda a un Servicio de AWS mediante un punto de conexión de VPC de interfaz en la Guía del usuario de Amazon Virtual Private Cloud (AWS PrivateLink).

Cree un punto de conexión de VPC para la API de Amazon DocumentDB mediante el uso del nombre del servicio com.amazonaws.region.rds.

Excepto en Regiones de AWS de China, si habilita un DNS privado para el punto de conexión, podrá hacer solicitudes de la API a Amazon DocumentDB con el punto de conexión de VPC mediante el nombre de DNS predeterminado para las Regiones de AWS, como rds.us-east-1.amazonaws.com. En las Regiones de AWS de China (Pekín) y China (Ningxia), puede llevar a cabo solicitudes de la API con el punto de conexión de VPC mediante rds-api---cn-north-1.amazonaws.com.rproxy.goskope.com.cn y rds-api---cn-northwest-1.amazonaws.com.rproxy.goskope.com.cn, respectivamente.

Para obtener más información, consulte Acceda a un Servicio de AWS mediante un punto de conexión de VPC de interfaz en la Guía del usuario de Amazon Virtual Private Cloud (AWS PrivateLink).

Creación de una política de punto de conexión de VPC para la API de Amazon DocumentDB

Puede asociar una política de punto de conexión al punto de conexión de VPC que controla el acceso a la API de Amazon DocumentDB. La política especifica la siguiente información:

La entidad principal que puede realizar acciones.
Las acciones que se pueden realizar.
Los recursos en los que se pueden llevar a cabo las acciones.

Para obtener más información, consulte Uso de políticas de punto de conexión para controlar el acceso a puntos de conexión de VPC en la Guía del usuario de Amazon Virtual Private Cloud (AWS PrivateLink).

Ejemplo: política de punto de conexión de VPC para acciones de la API de Amazon DocumentDB

A continuación, se muestra un ejemplo de una política de punto de conexión para la API de Amazon DocumentDB. Cuando se asocia a un punto de conexión, esta política concede acceso a las acciones de la API de Amazon DocumentDB enumeradas para todas las entidades principales de todos los recursos.


{
"Statement":[
      {
         "Principal":"*",
         "Effect":"Allow",
         "Action":[
            "docdb:CreateDBInstance",
            "docdb:ModifyDBInstance",
            "docdb:CreateDBSnapshot"
         ],
         "Resource":"*"
      }
   ]
}

Ejemplo: Política de punto de conexión de VPC que deniega todo el acceso desde una cuenta de AWS especificada

La siguiente política de punto de conexión de VPC deniega a la cuenta de AWS 123456789012 todo el acceso a los recursos mediante el punto de conexión. La política permite todas las acciones de otras cuentas.


{
  "Statement": [
    {
      "Action": "*",
      "Effect": "Allow",
      "Resource": "*",
      "Principal": "*"
    },
    {
      "Action": "*",
      "Effect": "Deny",
      "Resource": "*",
      "Principal": { "AWS": [ "123456789012" ] }
     }
   ]
}

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Seguridad de la infraestructura

Prácticas recomendadas de seguridad