API do Amazon RDS e endpoints da VPC de interface (AWS PrivateLink) - Amazon Aurora
ConsideraçõesDisponibilidadeCriar um VPC endpoint de interfaceCriar uma política de VPC endpoint

API do Amazon RDS e endpoints da VPC de interface (AWS PrivateLink)

É possível estabelecer uma conexão privada entre a VPC e os endpoints da API do Amazon RDS criando um VPC endpoint de interface. Os endpoints de interface são desenvolvidos pelo AWS PrivateLink.

O AWS PrivateLink permite que você acesse as operações de API do Amazon RDS sem um gateway da Internet, um dispositivo NAT, uma conexão VPN ou uma conexão do AWS Direct Connect. As instâncias de banco de dados na VPC não precisam de endereços IP públicos para se comunicarem com endpoints de API do Amazon RDS para executar, modificar ou encerrar instâncias e clusters de banco de dados. As instâncias de banco de dados também não precisam de endereços IP públicos para usar qualquer uma das operações de API do RDS disponíveis. O tráfego entre seu VPC e Amazon RDS não deixa a rede da Amazon.

Cada endpoint de interface é representado por uma ou mais interfaces de rede elástica nas sub-redes. Para obter mais informações sobre interfaces de rede elástica, consulte Interfaces de rede elástica no Guia do usuário do Amazon EC2.

Para obter mais informações sobre limites de VPC , consulte VPC endpoints de interface (AWS PrivateLink) no Guia do usuário da Amazon VPC. Para obter informações sobre as operações da API do RDS, consulte Referência da API do Amazon RDS.

Você não precisa de um endpoint da VPC de interface para se conectar a um cluster de banco de dados. Para ter mais informações, consulte Cenários para acessar um cluster de banco de dados em uma VPC.

Considerações sobre VPC endpoints

Antes de configurar um VPC endpoint de interface para endpoints da API do Amazon RDS, revise Propriedades e limitações do endpoint de interface no Guia do usuário da Amazon VPC.

Todas as operações de API do RDS relevantes para o gerenciamento de recursos do Amazon Aurora estão disponíveis na VPC usando o AWS PrivateLink.

As políticas de endpoint da VPC têm suporte para endpoints da API do RDS. Por padrão, o acesso total às operações de API do RDS é permitido através do endpoint. Para obter mais informações, consulte Controlar o acesso a serviços com VPC endpoints no Guia do usuário da Amazon VPC.

Disponibilidade

No momento, a API do Amazon RDS é compatível com os limites da VPC nas seguintes regiões da AWS:

  • Leste dos EUA (Ohio)

  • Leste dos EUA (N. da Virgínia)

  • Oeste dos EUA (N. da Califórnia)

  • Oeste dos EUA (Oregon)

  • África (Cidade do Cabo)

  • Ásia-Pacífico (Hong Kong)

  • Ásia-Pacífico (Mumbai)

  • Ásia-Pacífico (Osaka)

  • Ásia-Pacífico (Seul)

  • Ásia-Pacífico (Singapura)

  • Ásia-Pacífico (Sydney)

  • Ásia-Pacífico (Tóquio)

  • Canadá (Central)

  • Oeste do Canadá (Calgary)

  • China (Pequim)

  • China (Ningxia)

  • Europa (Frankfurt)

  • Europa (Zurique)

  • Europa (Irlanda)

  • Europa (Londres)

  • Europa (Paris)

  • Europa (Estocolmo)

  • Europa (Milão)

  • Israel (Tel Aviv)

  • Middle East (Bahrain)

  • South America (São Paulo)

  • AWS GovCloud (Leste dos EUA)

  • AWS GovCloud (Oeste dos EUA)

Criar um VPC endpoint de interface para a API Amazon RDS

Você pode criar um endpoint da VPC para o serviço de APIs do Amazon RDS usando o console da Amazon VPC ou a AWS Command Line Interface (AWS CLI). Para obter mais informações, consulte Criar um endpoint de interface no Guia do usuário da Amazon VPC.

Crie um VPC endpoint para a API Amazon RDS usando o nome de serviço com.amazonaws.region.rds.

Ao excluir regiões da AWS na China, se você habilitar o DNS privado para o endpoint, poderá fazer solicitações de API ao Amazon RDS com o endpoint da VPC usando seu nome DNS padrão para a região da AWS, por exemplo, rds.us-east-1.amazonaws.com. Para as regiões China (Pequim) e China (Ningxia) da AWS, é possível fazer solicitações de API com o endpoint da VPC usando rds-api---cn-north-1.amazonaws.com.rproxy.goskope.com.cn e rds-api---cn-northwest-1.amazonaws.com.rproxy.goskope.com.cn, respectivamente.

Para obter mais informações, consulte Acessar um serviço por um endpoint de interface no Guia do usuário da Amazon VPC.

Criar uma política de VPC endpoint para a API Amazon RDS

É possível anexar uma política de endpoint ao VPC endpoint que controla o acesso à API Amazon RDS Essa política especifica as seguintes informações:

  • A entidade principal que pode executar ações.

  • As ações que podem ser executadas.

  • Os recursos sobre os quais as ações podem ser realizadas.

Para obter mais informações, consulte Controlar o acesso a serviços com VPC endpoints no Guia do usuário da Amazon VPC.

Exemplo: política de VPC endpoint para ações da API Amazon RDS

Veja a seguir um exemplo de uma política de endpoint da API Amazon RDS. Quando anexada a um endpoint, essa política concede acesso às ações indicadas da API Amazon RDS para todos os principais em todos os recursos.

{
   "Statement":[
      {
         "Principal":"*",
         "Effect":"Allow",
         "Action":[
            "rds:CreateDBInstance",
            "rds:ModifyDBInstance",
            "rds:CreateDBSnapshot"
         ],
         "Resource":"*"
      }
   ]
}
Exemplo: política de endpoint da VPC que nega todo o acesso de uma conta da AWS especificada

A política de endpoint da VPC a seguir nega à conta da AWS 123456789012 todo o acesso aos recursos que usam o limite. A política permite todas as ações de outras contas.

{
  "Statement": [
    {
      "Action": "*",
      "Effect": "Allow",
      "Resource": "*",
      "Principal": "*"
    },
    {
      "Action": "*",
      "Effect": "Deny",
      "Resource": "*",
      "Principal": { "AWS": [ "123456789012" ] }
     }
   ]
}