API do Performance Insights e endpoints da VPC de interface (AWS PrivateLink) - Amazon Aurora
ConsideraçõesDisponibilidadeComo criar um endpoint de interfaceCriar uma política de endpoint da VPCEndereçamento IP

API do Performance Insights e endpoints da VPC de interface (AWS PrivateLink)

É possível usar o AWS PrivateLink para criar uma conexão privada entre a VPC e o Insights de Performance do Amazon RDS. É possível acessar o Performance Insights como se estivesse em sua VPC, sem usar um gateway da Internet, um dispositivo NAT, uma conexão VPN ou uma conexão do AWS Direct Connect. As instâncias na VPC não precisam de endereços IP públicos para acessar o Performance Insights.

Você estabelece essa conectividade privada criando um endpoint de interface, desenvolvido pelo AWS PrivateLink. Criaremos um endpoint de interface de rede em cada sub-rede que você habilitar para o endpoint de interface. Estas são interfaces de rede gerenciadas pelo solicitante que servem como ponto de entrada para o tráfego destinado ao Performance Insights.

Para obter mais informações, consulte Acessar os Serviços da AWS pelo AWS PrivateLink no Guia do AWS PrivateLink.

Considerações sobre o Performance Insights

Antes de configurar um endpoint de interface para o Performance Insights, leia Considerations no Guia do AWS PrivateLink.

O Performance Insights aceita fazer chamadas para todas as suas ações de API por meio do endpoint da interface.

Por padrão, o acesso total ao Performance Insights é permitido no endpoint da interface. Para controlar o tráfego pra o Performance Insights por meio do endpoint da interface, associe um grupo de segurança às interfaces de rede do endpoint.

Disponibilidade

Atualmente, a API do Performance Insights comporta endpoints da VPC em Regiões da AWS que aceitam o Performance Insights. Para ter informações sobre a disponibilidade do Performance Insights, consulte Regiões e mecanismos de banco de dados do Aurora compatíveis com o Insights de Performance.

Criar um endpoint de interface para o Performance Insights

É possível criar um endpoint de interface para o Performance Insights usando o console da Amazon VPC ou a AWS Command Line Interface (AWS CLI). Para obter mais informações, consulte Criar um endpoint de interface no Guia do usuário do AWS PrivateLink.

Crie um endpoint de interface para o Performance Insights usando o seguinte nome de serviço:

Se você habilitar o DNS privado para o endpoint da interface, poderá fazer solicitações de API ao Performance Insights usando seu nome do DNS regional padrão. Por exemplo, pi.us-east-1.amazonaws.com.

Criar uma política de endpoint da VPC para a API do Performance Insights

Política de endpoint é um recurso do IAM que você pode anexar ao endpoint de interface. A política de endpoint padrão permite acesso total ao Performance Insights por meio do endpoint de interface. Para controlar o acesso permitido ao Performance Insights pela VPC anexe uma política de endpoint personalizada ao endpoint de interface.

Uma política de endpoint especifica as seguintes informações:

  • As entidades principais que podem realizar ações (Contas da AWS, usuários do IAM e perfis do IAM).

  • As ações que podem ser executadas.

  • Os recursos nos quais as ações podem ser executadas.

Para obter mais informações, consulte Controlar o Acesso a Serviços Usando Políticas de Endpoint no AWS PrivateLink Guia.

Exemplo: Política de endpoint da VPC para ações do Performance Insights

O exemplo a seguir refere-se a uma política de endpoint personalizada. Quando anexada ao endpoint de interface, essa política concede acesso às ações do Performance Insights listadas para todas as entidades principais em todos os recursos.

{
   "Statement":[
      {
         "Principal":"*",
         "Effect":"Allow",
         "Action":[
            "rds:CreatePerformanceAnalysisReport",
            "rds:DeletePerformanceAnalysisReport",
            "rds:GetPerformanceAnalysisReport"
         ],
         "Resource":"*"
      }
   ]
}
Exemplo: política de endpoint da VPC que nega todo o acesso de uma conta da AWS especificada

A política de endpoint da VPC a seguir nega à conta da AWS 123456789012 todo o acesso aos recursos que usam o limite. A política permite todas as ações de outras contas.

{
  "Statement": [
    {
      "Action": "*",
      "Effect": "Allow",
      "Resource": "*",
      "Principal": "*"
    },
    {
      "Action": "*",
      "Effect": "Deny",
      "Resource": "*",
      "Principal": { "AWS": [ "123456789012" ] }
     }
   ]
}

Endereçamento IP para Performance Insights

Os endereços IP habilitam recursos na sua VPC para se comunicar com outros e com recursos na Internet. O Performance Insights comporta protocolos de endereçamento IPv4 e IPv6. Por padrão, o Performance Insights e a Amazon VPC usam o protocolo de endereçamento IPv4. Você não pode desativar esse comportamento. Ao criar uma VPC, especifique um bloco CIDR IPv4 (um intervalo de endereços IPv4 privados).

Também é possível atribuir um bloco CIDR IPv6 à VPC e às sub-redes e atribuir endereços IPv6 desse bloco a recursos do RDS na sub-rede. A compatibilidade com o protocolo IPv6 expande o número de endereços IP compatíveis. Ao usar o protocolo IPv6, você tem a garantia de que terá endereços disponíveis suficientes para o crescimento futuro da Internet. Os recursos do RDS novos e existentes podem usar endereços IPv4 e IPv6 na VPC. Configurar, proteger e converter o tráfego de rede entre os dois protocolos usados em diferentes partes de uma aplicação pode causar sobrecarga operacional. Você pode padronizar o protocolo IPv6 para recursos do Amazon RDS a fim de simplificar sua configuração de rede. Para ter mais informações sobre os endpoints e cotas de serviço, consulte Endpoints e cotas do Amazon Relational Database Service.

Para ter mais informações sobre o endereçamento IP do Aurora, consulte Endereçamento IP do Aurora.