本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
AWS Data Exchange 和接口 VPC 终端节点 (AWS PrivateLink)
您可通过创建 VPC 接口端点在虚拟私有云 (VPC) 和 AWS Data Exchange 之间创建私有连接。接口端点由一项技术提供支持 AWS PrivateLink
每个接口端点均由子网中的一个或多个弹性网络接口表示。
注意
VPC 支持SendAPIAsset
除之外的所有 AWS Data Exchange 操作。
有关更多信息,请参阅 A mazon VPC 用户指南中的接口 VPC 终端节点 (AWS PrivateLink)。
AWS Data Exchange VPC 终端节点的注意事项
在为设置接口 VPC 终端节点之前 AWS Data Exchange,请务必查看 Amazon VPC 用户指南中的接口终端节点属性和限制。
AWS Data Exchange 支持从您的 VPC 调用其所有 API 操作。
为 AWS Data Exchange创建接口 VPC 端点
您可以使用 Amazon VPC 控制台或 AWS Command Line Interface (AWS CLI) 为 AWS Data Exchange 服务创建 VPC 终端节点。有关更多信息,请参阅《Amazon VPC 用户指南》中的创建接口端点。
AWS Data Exchange 使用以下服务名称创建 VPC 终端节点:
-
com.amazonaws.
region
.dataexchange
例如,如果您为终端节点启用私有 DNS,则可以使用终端节点的默认 DNS 名称向 AWS Data Exchange 发出 API 请求com.amazonaws.us-east-1.dataexchange
。 AWS 区域
有关更多信息,请参阅《Amazon VPC 用户指南》中的通过接口端点访问服务。
为创建 VPC 终端节点策略 AWS Data Exchange
您可以为 VPC 端点附加控制对 AWS Data Exchange的访问的端点策略。该策略指定以下信息:
-
可执行操作的主体
-
可执行的操作
-
可对其执行操作的资源
有关更多信息,请参阅《Amazon VPC 用户指南》中的使用 VPC 端点控制对服务的访问权限。
示例:用于 AWS Data Exchange 操作的 VPC 终端节点策略
以下是的终端节点策略示例 AWS Data Exchange。当连接到终端节点时,此策略授予所有委托人对所有资源 AWS Data Exchange 执行所列操作的访问权限。
此示例 VPC 终端节点策略仅允许 AWS 账户 123456789012
来自的用户具有bts
完全访问权限vpc-12345678
。允许用户 readUser
读取资源,但所有其他 IAM 主体均被拒绝访问该端点。
{ "Id": "example-policy", "Version": "2012-10-17", "Statement": [ { "Sid": "Allow administrative actions from vpc-12345678", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::123456789012:user/bts" ] }, "Action": "*", "Resource": "*", "Condition": { "StringEquals": { "aws:sourceVpc": "vpc-12345678" } } }, { "Sid": "Allow ReadOnly actions", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::123456789012:user/readUser" ] }, "Action": [ "dataexchange:list*", "dataexchange:get*" ], "Resource": "*", } ] }