本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
MemoryDB API 和接口VPC端点 ()AWS PrivateLink
您可以通过创建接口VPC终端节点在您VPC和 Amazon MemoryDB API 终端节点之间建立私有连接。接口端点由提供支持AWS PrivateLink
您的中的实例VPC不需要公有 IP 地址即可与 MemoryDB API 终端节点通信。您的实例也不需要公有 IP 地址即可使用任何可用的 MemoryDB 操作API。您VPC和 MemoryDB 之间的流量不会离开亚马逊网络。每个接口端点均由子网中的一个或多个弹性网络接口表示。有关弹性网络接口的更多信息,请参阅 Amazon EC2 用户指南中的弹性网络接口。
-
有关VPC终端节点的更多信息,请参阅 Amazon VPC 用户指南中的接口VPC终端节点 (AWS PrivateLink)。
-
有关 MemoryDB 操作的更多信息,请参阅 Mem or API yDB API 操作。
创建接口VPC终端节点后,如果您为该终端节点启用私有DNS主机名,则为默认 MemoryDB 终端节点 (https://memorydb.Region
.amazonaws.com) 解析到您的终端节点。VPC如果您不启用私有DNS主机名,Amazon 会VPC提供一个DNS终端节点名称,您可以按以下格式使用该名称:
VPC_Endpoint_ID.memorydb.Region.vpce.amazonaws.com
有关更多信息,请参阅 Amazon VPC 用户指南中的接口VPC终端节点 (AWS PrivateLink)。MemoryDB 支持在你的内部调用它的所有API动作。VPC
注意
只能为中的一个VPC终端节点启用私有DNS主机名。VPC如果要创建其他VPC端点,则应为其禁用私有DNS主机名。
VPC端点注意事项
在为 MemoryDB VPC 终端节点设置接口API终端节点之前,请务必查看亚马逊VPC用户指南中的接口终端节点属性和限制。所有与管理 MemoryDB 资源相关的 MemoryDB API 操作均可从您的使用中获得。VPC AWS PrivateLink VPCMemoryDB API 端点支持端点策略。默认情况下,允许通过端点对 MemoryDB API 操作进行完全访问。有关更多信息,请参阅 Amazon VPC 用户指南中的使用VPC终端节点控制对服务的访问。
为 MemoryDB 创建接口VPC端点 API
您可以使用亚马逊VPC控制台或 MemoryDB API 创建VPC终端节点。 AWS CLI有关更多信息,请参阅 Amazon VPC 用户指南中的创建接口终端节点。
创建接口VPC终端节点后,您可以为该终端节点启用私有DNS主机名。当你这样做时,默认的 MemoryDB 端点 (https://memorydb。Region
.amazonaws.com) 解析到您的终端节点。VPC有关更多信息,请参阅 Amazon VPC 用户指南中的通过接口终端节点访问服务。
为 Amazon MemoryDB 创建VPC终端节点策略 API
您可以将终端节点策略附加到控制对 Memory API DB 的访问权限的VPC终端节点。此策略指定以下内容:
-
可执行操作的主体。
-
可执行的操作。
-
可对其执行操作的资源。
有关更多信息,请参阅 Amazon VPC 用户指南中的使用VPC终端节点控制对服务的访问。
例 VPCMemory API DB 操作的端点策略
以下是 Memory API DB 的终端节点策略示例。当连接到终端节点时,此策略向所有资源的所有委托人授予对列出的 MemoryDB API 操作的访问权限。
{ "Statement": [{ "Principal": "*", "Effect": "Allow", "Action": [ "memorydb:CreateCluster", "memorydb:UpdateCluster", "memorydb:CreateSnapshot" ], "Resource": "*" }] }
例 VPC终端节点策略拒绝来自指定 AWS 账户的所有访问权限
以下VPC终端节点策略拒绝 AWS 账号 123456789012
使用终端节点访问资源的所有权限。此策略允许来自其他账户的所有操作。
{ "Statement": [{ "Action": "*", "Effect": "Allow", "Resource": "*", "Principal": "*" }, { "Action": "*", "Effect": "Deny", "Resource": "*", "Principal": { "AWS": [ "123456789012" ] } } ] }