本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Amazon Personalize 和接口 VPC 端点 (AWS PrivateLink)
如果您使用亚马逊虚拟私有云(亚马逊 VPC)托管 AWS 资源,则可以在您的 VPC 和 Amazon Personalize 之间建立私有连接。此连接允许 Amazon Personalize 与您 VPC 上的资源通信,而不用经过公共 Internet。
Amazon VPC 用于在您定义的虚拟私有云 (VPC) 或虚拟网络中启动 AWS 资源。 AWS 服务 借助 VPC,您可以控制您的网络设置,如 IP 地址范围、子网、路由表和网络网关。使用 VPC 终端节点, AWS 网络负责处理您的 VPC 和之间的路由 AWS 服务。
要将您的 VPC 连接到 Amazon Personalize,请为 Amazon Personalize 定义一个接口 VPC 端点。接口端点是具有私有 IP 地址的弹性网络接口,用作发送到受支持的 AWS 服务的流量的入口点。端点提供与 Amazon Personalize 之间的可靠、可扩展的连接。它不需要 Internet 网关、网络地址转换 (NAT) 实例或 VPN 连接。有关更多信息,请参阅 Amazon VPC 用户指南中的什么是 Amazon VPC。
接口 VPC 终端节点由启用 AWS PrivateLink。该 AWS 技术 AWS 服务 通过使用带有私有 IP 地址的 elastic network interface 来实现两者之间的私密通信。
注意
支持所有 Amazon Personalize 联邦信息处理标准 (FIPS) 终端节点。 AWS PrivateLink
为 Amazon Personalize 创建接口 VPC 端点
您可以使用亚马逊 VPC 控制台或 AWS Command Line Interface (AWS CLI) 为 Amazon Personalize 服务创建 VPC 终端节点。有关更多信息,请参阅 Amazon VPC 用户指南中的使用接口 VPC 终端节点访问 AWS 服务。
要为 Amazon Personalize 创建 VPC 端点,请为该服务选择以下一个选项:
-
com.amazonaws.
region.personalize -
com.amazonaws.
region.personalize-events -
com.amazonaws.
region.personalize-runtime
如果为端点启用私有 DNS,则可以使用其对于该区域的默认 DNS 名称,向 Amazon Personalize 发送 API 请求,例如 personalize.us-east-1.amazonaws.com。
为 Amazon Personalize 创建 VPC 端点策略
您可以为 VPC 端点附加控制对 Amazon Personalize 的访问的端点策略。该策略指定以下信息:
-
可执行操作的主体。
-
可执行的操作。
-
可对其执行操作的资源。
有关更多信息,请参阅《Amazon VPC 用户指南》中的使用 VPC 端点控制对服务的访问。
示例:允许所有 Amazon Personalize 操作和 passRole 操作的 VPC 端点策略
当附加到端点时,此策略会授予对所有 Amazon Personalize 操作和 passRole 操作的访问权限。
{ "Statement": [ { "Principal": "*", "Effect": "Allow", "Action": [ "personalize:*", "iam:PassRole" ], "Resource": "*" } ] }
示例:允许 Amazon Personalize ListDatasets 操作的 VPC 端点策略
当关联到终端节点时,此政策授予访问列出的 Amazon Personalize ListDatasets 操作的权限。
{ "Statement": [ { "Principal": "*", "Effect": "Allow", "Action": [ "personalize:ListDatasets" ], "Resource": "*" } ] }
