Amazon DocumentDB API 和接口 VPC 端点 (AWS PrivateLink) - Amazon DocumentDB
VPC 端点注意事项区域可用性为 Amazon DocumentDB API 创建接口 VPC 端点为 Amazon DocumentDB API 创建 VPC 端点策略

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon DocumentDB API 和接口 VPC 端点 (AWS PrivateLink)

注意

亚马逊 DocumentDB 弹性集群不支持 VP AWS PrivateLink C 终端节点。

您可以通过创建接口 VPC 端点 在 VPC 和 Amazon DocumentDB API 端点之间建立私有连接。接口端点由提供支持 AWS PrivateLink。

虽然基于 Amazon DocumentDB 实例的集群不需要接口 VPC 终端节点连接,但您无需互联网网关、 AWS PrivateLink NAT 设备、VPN 连接或连接即可私密访问 Amazon DocumentDB API 操作。 AWS Direct Connect VPC 中的 Amazon DocumentDB 实例不需要公有 IP 地址即可与 Amazon DocumentDB API 端点进行通信,进而启动、修改或终止数据库实例和数据库集群。您的 Amazon DocumentDB 实例也不需要公有 IP 地址即可使用任何可用的 Amazon DocumentDB API 操作。您的 VPC 和 Amazon DocumentDB 之间的流量不会脱离 Amazon 网络。

每个接口端点均由子网中的一个或多个弹性网络接口表示。有关更多信息,请参阅 Amazon EC2 用户指南中的弹性网络接口

有关 VPC 终端节点的更多信息,请参阅 Amazon Virtual Private Cloud (AWS PrivateLink) 用户指南中的AWS 服务 使用接口 VPC 终端节点访问。有关 Amazon DocumentDB 操作的更多信息,请参阅 Amazon DocumentDB 集群、实例和资源管理 API 参考

VPC 端点注意事项

在为 Amazon DocumentDB API 端点设置接口 VPC 端点之前,请务必查看《Amazon Virtual Private Cloud (AWS PrivateLink) 用户指南》中的接口端点先决条件

可以从 VPC 使用 AWS PrivateLink获取所有与管理 Amazon DocumentDB 资源相关的所有 Amazon DocumentDB API 操作。

Amazon DocumentDB API 端点支持 VPC 端点策略。默认情况下,允许通过端点对 Amazon DocumentDB 操作进行完全访问。有关更多信息,请参阅《Amazon Virtual Private Cloud (AWS PrivateLink) 用户指南》中的使用端点策略控制对 VPC 端点的访问

区域可用性

亚马逊 DocumentDB API 目前支持以下方面的 VPC 终端节点: AWS 区域

  • 美国东部(俄亥俄州)

  • 美国东部(弗吉尼亚州北部)

  • 美国西部(俄勒冈州)

  • 非洲(开普敦)

  • 亚太地区(香港)

  • 亚太地区(孟买)

  • 亚太地区(海得拉巴)

  • 亚太地区(大阪)

  • 亚太地区(首尔)

  • 亚太地区(新加坡)

  • 亚太地区(悉尼)

  • 亚太地区(东京)

  • 加拿大(中部)

  • 中国(北京)

  • 中国(宁夏)

  • 欧洲地区(法兰克福)

  • 欧洲地区(爱尔兰)

  • 欧洲地区(伦敦)

  • 欧洲地区(巴黎)

  • 欧洲地区(西班牙)

  • 欧洲地区(米兰)

  • 中东(阿联酋)

  • 南美洲(圣保罗)

  • AWS GovCloud (美国东部)

  • AWS GovCloud (美国西部)

为 Amazon DocumentDB API 创建接口 VPC 端点

您可以使用亚马逊 VPC 控制台或 AWS Command Line Interface ()AWS CLI为亚马逊 DocumentDB API 创建 VPC 终端节点。有关更多信息,请参阅 Amazon Virtual Private Cloud (AWS PrivateLink) 用户指南中的 AWS 服务 使用接口 VPC 终端节点访问

使用服务名称 com.amazonaws.region.rds 为 Amazon DocumentDB API 创建 VPC 端点。

中国除外 AWS 区域 ,如果您为终端节点启用私有 DNS,则可以使用其默认 DNS 名称 AWS 区域,使用 VPC 终端节点向亚马逊 DocumentDB 发出 API 请求,例如 rds.us-east-1.amazonaws.com。对于中国(北京)和中国(宁夏 AWS 区域),您可以分别使用 rds-api.cn-north-1.amazonaws.com .cn 和 rds-api.cn-northwest-1.amazonaws.com .cn 向 VPC 终端节点发出 API 请求。

有关更多信息,请参阅 Amazon Virtual Private Cloud (AWS PrivateLink) 用户指南中的 AWS 服务 使用接口 VPC 终端节点访问

为 Amazon DocumentDB API 创建 VPC 端点策略

您可以为 VPC 端点附加端点策略,以控制对 Amazon DocumentDB API 的访问。该策略指定以下信息:

  • 可执行操作的主体。

  • 可执行的操作。

  • 可对其执行操作的资源。

有关更多信息,请参阅《Amazon Virtual Private Cloud (AWS PrivateLink) 用户指南》中的使用端点策略控制对 VPC 端点的访问

示例:Amazon DocumentDB API 操作的 VPC 端点策略

下面是用于 Amazon DocumentDB API 的端点策略示例。当附加到端点时,此策略会向所有委托人授予对列出的针对所有资源的 Amazon DocumentDB API 操作的访问权限。

{
"Statement":[
      {
         "Principal":"*",
         "Effect":"Allow",
         "Action":[
            "docdb:CreateDBInstance",
            "docdb:ModifyDBInstance",
            "docdb:CreateDBSnapshot"
         ],
         "Resource":"*"
      }
   ]
}

示例:拒绝来自指定 AWS 账户的所有访问的 VPC 终端节点策略

以下 VPC 终端节点策略拒绝 AWS 账户 123456789012 使用该终端节点访问所有资源。此策略允许来自其他账户的所有操作。

{
  "Statement": [
    {
      "Action": "*",
      "Effect": "Allow",
      "Resource": "*",
      "Principal": "*"
    },
    {
      "Action": "*",
      "Effect": "Deny",
      "Resource": "*",
      "Principal": { "AWS": [ "123456789012" ] }
     }
   ]
}