# Amazon RDS API 和接口 VPC 终端节点 (AWS PrivateLink)
您可以通过创建*接口 VPC 终端节点* 在 VPC 和 Amazon RDS API 终端节点之间建立私有连接。接口终端节点由 提供支持[AWS PrivateLink](https://aws.amazon.com/privatelink)
AWS PrivateLink 使您可以私下访问 Amazon RDS API 操作,而无需互联网网关、NAT 设备、VPN 连接或 Direct Connect 连接。VPC 中的数据库实例不需要公有 IP 地址即可与 Amazon RDS API 端点进行通信,进而启动、修改或终止数据库实例。您的数据库实例也不需要公有 IP 地址即可使用任何可用的 RDS API 操作。您的 VPC 和 Amazon RDS 之间的流量不会脱离 Amazon 网络。
每个接口终端节点均由子网中的一个或多个弹性网络接口表示。有关弹性网络接口的更多信息,请参阅*《Amazon EC2 用户指南》*中的[弹性网络接口](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html)。
有关 VPC 终端节点的更多信息,请参阅 *Amazon VPC 用户指南*中的[接口 VPC 终端节点 (AWS PrivateLink)](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html)。有关 RDS API 操作的信息,请参阅 [Amazon RDS API 参考](https://docs.aws.amazon.com/AmazonRDS/latest/APIReference/)。
您不需要接口 VPC 端点即可连接到数据库实例。有关更多信息,请参阅 [在 VPC 中访问数据库实例的场景](USER_VPC.Scenarios.md)。
## VPC 终端节点注意事项
在为 Amazon RDS API 终端节点设置接口 VPC 终端节点之前,请务必查看*Amazon VPC 用户指南* 中的[接口终端节点属性和限制](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#vpce-interface-limitations)。
可以从使用 AWS PrivateLink 的 VPC 中获取所有与管理 Amazon RDS 资源相关的 RDS API 操作。
RDS API 终端节点支持 VPC 终端节点策略。默认情况下,允许通过终端节点对 RDS API 操作进行完全访问。有关更多信息,请参阅 *Amazon VPC 用户指南*中的[使用 VPC 终端节点控制对服务的访问](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html)。
## 可用性
Amazon RDS API 当前在以下AWS区域中支持 VPC 终端节点:
+ US East (Ohio)
+ 美国东部(弗吉尼亚州北部)
+ 美国西部(北加利福尼亚)
+ 美国西部(俄勒冈州)
+ 非洲(开普敦)
+ 亚太地区(香港)
+ Asia Pacific (Mumbai)
+ 亚太地区(新西兰)
+ 亚太地区(大阪)
+ 亚太地区(首尔)
+ 亚太地区(新加坡)
+ 亚太地区(悉尼)
+ 亚太地区(台北)
+ 亚太地区(泰国)
+ 亚太地区(东京)
+ 加拿大(中部)
+ 加拿大西部(卡尔加里)
+ 中国(北京)
+ 中国(宁夏)
+ 欧洲地区(法兰克福)
+ 欧洲(苏黎世)
+ 欧洲地区(爱尔兰)
+ 欧洲地区(伦敦)
+ 欧洲地区(巴黎)
+ 欧洲地区(斯德哥尔摩)
+ 欧洲地区(米兰)
+ 以色列(特拉维夫)
+ 墨西哥(中部)
+ 中东(巴林)
+ 南美洲(圣保罗)
+ AWS GovCloud(美国东部)
+ AWS GovCloud(美国西部)
## 为 Amazon RDS API 创建接口 VPC 终端节点
您可以使用 Amazon VPC 控制台或 AWS Command Line Interface (AWS CLI) 为 EBS 直接 Amazon RDS API 服务创建 VPC 终端节点。有关更多信息,请参阅 *Amazon VPC 用户指南*中的[创建接口终端节点](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#create-interface-endpoint)。
使用服务名称 `com.amazonaws.region.rds` 为 Amazon RDS API 创建 VPC 终端节点。
如果您为终端节点启用私有 DNS,则可以将其默认 DNS 名称用于AWS区域(例如 `rds.us-east-1.amazonaws.com`),从而通过 VPC 终端节点向 Amazon RDS 发出 API 请求(中国的AWS区域除外)。对于中国(北京)和中国(宁夏)AWS区域,您可以通过 VPC 终端节点分别使用 `rds-api---cn-north-1.amazonaws.com.rproxy.goskope.com.cn` 和 `rds-api---cn-northwest-1.amazonaws.com.rproxy.goskope.com.cn` 发出 API 请求。
有关更多信息,请参阅 *Amazon VPC 用户指南*中的[通过接口终端节点访问服务](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#access-service-though-endpoint)。
## 为 Amazon RDS API 创建 VPC 终端节点策略
您可以为 VPC 终端节点附加控制对 Amazon RDS API 的访问的终端节点策略。该策略指定以下信息:
+ 可执行操作的主体。
+ 可执行的操作。
+ 可对其执行操作的资源。
有关更多信息,请参阅 *Amazon VPC 用户指南*中的[使用 VPC 终端节点控制对服务的访问](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html)。
**示例:Amazon RDS API 操作的 VPC 终端节点策略**
下面是用于 Amazon RDS API 的终端节点策略示例。当附加到终端节点时,此策略会向所有委托人授予对列出的针对所有资源的 Amazon RDS API 操作的访问权限。
```
{
"Statement":[
{
"Principal":"*",
"Effect":"Allow",
"Action":[
"rds:CreateDBInstance",
"rds:ModifyDBInstance",
"rds:CreateDBSnapshot"
],
"Resource":"*"
}
]
}
```
**示例:拒绝来自指定 AWS 账户的所有访问的 VPC 终端节点策略**
以下 VPC 端点策略会拒绝 AWS 账户 `123456789012` 所有使用端点访问资源的权限。此策略允许来自其他账户的所有操作。
```
{
"Statement": [
{
"Action": "*",
"Effect": "Allow",
"Resource": "*",
"Principal": "*"
},
{
"Action": "*",
"Effect": "Deny",
"Resource": "*",
"Principal": { "AWS": [ "123456789012" ] }
}
]
}
```