本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 将 Amazon Keyspaces CDC 流与接口 VPC 终端节点一起使用
<a name="vpc-endpoints-streams"></a>

接口 VPC 端点可以在 Amazon VPC 中运行的虚拟私有云 (VPC) 与 Amazon Keyspaces 之间实现私有通信。接口 VPC 终端节点由提供支持 AWS PrivateLink，这是一项支持 VPCs 和 AWS 服务之间私有通信的 AWS 服务。

AWS PrivateLink 通过在您的 VPC 中使用带有私有 IP 地址的 elastic network interface 来实现这一点，这样网络流量就不会离开亚马逊网络。接口 VPC 端点不需要互联网网关、NAT 设备、VPN 连接或 Direct Connect 连接。有关更多信息，请参阅 [Amazon Virtual Private Cloud](https://docs.aws.amazon.com/vpc/latest/userguide/) 和 [接口 VPC 端点 (AWS PrivateLink)](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html)。

**Topics**
+ [为 Amazon Keyspaces CDC 直播使用接口 VPC 终端节点](#using-interface-vpc-endpoints-streams)
+ [Amazon Keyspaces CDC 直播接口 VPC 终端节点](#interface-vpc-endpoints-streams-types)
+ [创建 Amazon Keyspaces CDC 流接口 VPC 终端节点](#create-interface-vpc-endpoints-streams)
+ [更新 Amazon Keyspaces CDC 流接口 VPC 终端节点](#update-interface-vpc-endpoints-streams)
+ [使用 Amazon Keyspaces CDC 流接口 VPC 终端节点列出流](#list-interface-vpc-endpoints-streams)
+ [为 Amazon Keyspaces CDC 流接口 VPC 终端节点创建策略](#interface-vpc-endpoints-streams-policy)

## 为 Amazon Keyspaces CDC 直播使用接口 VPC 终端节点
<a name="using-interface-vpc-endpoints-streams"></a>

您可以使用接口 VPC 终端节点，以便 Amazon Keyspaces CDC 流和您的 Amazon VPC 资源之间的流量开始流经接口 VPC 终端节点。您可以使用 VPC 终端节点策略来限制对您的 CDC 直播的访问。

有关 Amazon Keyspaces CDC 直播的更多信息，请参阅。[在 Amazon Keyspaces 中处理变更数据捕获 (CDC) 流](cdc.md)

## Amazon Keyspaces CDC 直播接口 VPC 终端节点
<a name="interface-vpc-endpoints-streams-types"></a>

**当您创建接口终端节点时，Amazon Keyspaces CDC 流会为该流生成两种类型的终端节点特定的 DNS 名称：区域和区域。**

**区域性**  
区域 DNS 名称包含以下信息：  
+ 唯一的亚马逊 VPC 终端节点 ID
+ 服务标识符
+ 的 AWS 区域
+ 后`vpce.amazonaws.com`缀
对于带有 ID 的 Amazon VPC 终端节点`vpce-1a2b3c4d`，生成的 DNS 名称可能与以下示例类似：`vpce-1a2b3c4d-5e6f.cassandra-streams.us-east-1.vpce.amazonaws.com`。

**可用区**  
区域 DNS 名称除了[区域 DNS 名称中的信息外，还包括可用区](https://aws.amazon.com/about-aws/global-infrastructure/regions_az/)。为带有 ID 的 Amazon VPC 终端节点生成`vpce-1a2b3c4d`的 DNS 名称如下例所示，请注意， AWS 区域 现在包含可用区：`vpce-1a2b3c4d-5e6f-us-east-1a.cassandra-streams.us-east-1.vpce.amazonaws.com`  
如果您的架构隔离了可用区，则可以使用此选项。例如，您可以将其用于故障控制或降低区域数据传输成本。  
为了实现最佳可靠性，我们建议将您的服务部署在至少三个可用区中。

## 创建 Amazon Keyspaces CDC 流接口 VPC 终端节点
<a name="create-interface-vpc-endpoints-streams"></a>

您可以使用 AWS CLI 或软件开发工具包通过 Amazon AWS Keyspaces CDC Streams 接口终端节点访问 Amazon Keyspaces CDC Streams API 操作。有关所有可用 API 操作的完整列表，请参阅 [https://docs.aws.amazon.com/keyspaces/latest/StreamsAPIReference/Welcome.html](https://docs.aws.amazon.com/keyspaces/latest/StreamsAPIReference/Welcome.html) 参考。

有关如何创建 VPC 终端节点的更多信息，请参阅 Amazon VPC 用户指南中的[创建接口终端节点](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#create-interface-endpoint)。

要创建 VPC 终端节点，您可以使用以下示例中的语法。

```
aws ec2 create-vpc-endpoint \
  --region us-east-1 \
  --service-name api.aws.us-east-1.cassandra-streams \
  --vpc-id client-vpc-id \
  --subnet-ids client-subnet-id \
  --vpc-endpoint-type Interface \
  --security-group-ids client-sg-id
```

## 更新 Amazon Keyspaces CDC 流接口 VPC 终端节点
<a name="update-interface-vpc-endpoints-streams"></a>

要更新 VPC 终端节点，您可以使用以下示例中的语法。

```
aws ec2 modify-vpc-endpoint \
  --region us-east-1 \
  --vpc-endpoint-id client-vpc-id \
  --policy-document policy-document \ #example optional parameter
  --add-security-group-ids security-group-ids \ #example optional parameter
```

## 使用 Amazon Keyspaces CDC 流接口 VPC 终端节点列出流
<a name="list-interface-vpc-endpoints-streams"></a>

要列出使用 VPC 终端节点的流，您可以使用以下示例中的语法。请务必使用您自己的信息替换 VPC 终端节点 ID 的地区和 DNS 名称。

```
aws keyspacesstreams \
  --endpoint https://vpce-1a2b3c4d-5e6f.cassandra-streams.us-east-1.vpce.amazonaws.com \
  --region us-east-1 \
  list-streams
```

## 为 Amazon Keyspaces CDC 流接口 VPC 终端节点创建策略
<a name="interface-vpc-endpoints-streams-policy"></a>

您可以将终端节点策略附加到控制对 Amazon Keyspaces CDC 流的访问权限的 Amazon VPC 终端节点。该策略指定以下信息：
+ 可以执行操作的 AWS Identity and Access Management (IAM) 委托人
+ 可执行的操作
+ 可对其执行操作的资源

要将访问特定 Amazon Keyspaces CDC 流限制为仅允许访问您的 Amazon VPC 中的特定 AWS 服务，您可以使用以下示例。

以下直播策略授予任何 IAM 委托人的访问权限，`cassandra:GetRecords`以执行操作`cassandra:GetStream`以及`2025-02-20T11:22:33.444`关联到账户`/keyspace/mykeyspace/table/mytable/`资源的指定流`123456788901`。要使用此终端节点策略，请务必将区域、账户 ID 和资源替换为直播标签。

```
{
"Version": "2012-10-17",		 	 	 
  "Id": "Policy1216114807515",
  "Statement": [
    { "Sid": "Access-to-specific-stream-only",
      "Principal": "*",
      "Action": [
        "cassandra:GetStream",
        "cassandra:GetRecords"
      ],
      "Effect": "Allow",
      "Resource": ["arn:aws:cassandra:us-east-1:111122223333:/keyspace/mykeyspace/table/mytable/stream/2025-02-20T11:22:33.444"]
    }
  ]
}
```

**注意**  
Amazon Keyspaces 不支持 CDC 直播的网关终端节点。