QLDB使用接口终端节点访问亚马逊 (AWS PrivateLink) - 亚马逊 Quantum Ledger 数据库(亚马逊QLDB)
注意事项创建接口端点创建端点策略接口端点的可用性

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

QLDB使用接口终端节点访问亚马逊 (AWS PrivateLink)

重要

终止支持通知:现有客户将能够使用亚马逊,QLDB直到 2025 年 7 月 31 日终止支持。有关更多详细信息,请参阅将亚马逊QLDB账本迁移到亚马逊 Aurora Postgr SQL e。

您可以使用 … AWS PrivateLink 在您VPC和 Amazon 之间创建私有连接QLDB。无需使用互联网网关VPC、NAT设备、VPN连接或 QLDB AWS Direct Connect 连接。您中的实例VPC不需要公有 IP 地址即可访问QLDB。

您可以通过创建接口端点来建立此私有连接,该端点由提供支持 AWS PrivateLink。 我们在您为接口终端节点启用的每个子网中创建一个终端节点网络接口。这些是请求者管理的网络接口,用作发往的流量的入口点。QLDB

有关更多信息,请参阅访问权限 AWS 服务 通过 AWS PrivateLink中的 AWS PrivateLink 指南

QLDB 的注意事项

在为设置接口终端节点之前QLDB,请查看中的注意事项 AWS PrivateLink 指南

注意

QLDB仅支持API通过接口端点调用QLDB会话事务数据。这仅API包括SendCommand操作。在账本的STANDARD权限模式下,你可以在账本中控制对特定 PartiQL 操作的权限。API

为 QLDB 创建接口端点

您可以创建用于QLDB使用 Amazon 控制台或 Amazon VPC 控制台的接口终端节点 AWS Command Line Interface (AWS CLI)。 有关更多信息,请参阅中的创建接口终端节点 AWS PrivateLink 指南

QLDB使用以下服务名称创建接口终端节点:

com.amazonaws.region.qldb.session

如果您DNS为接口终端节点启用私有功能,则QLDB可以使用其默认区域DNS名称向API发出请求。例如,session.qldb.us-east-1.amazonaws.com

为 VPC 端点创建端点策略

终端节点策略是您可以附加到接口终端节点的IAM资源。默认终端节点策略允许QLDB通过接口终端节点进行完全访问。要控制允许QLDB从您的访问权限VPC,请将自定义终端节点策略附加到接口终端节点。

端点策略指定以下信息:

  • 可以执行操作的委托人 (AWS 账户、用户和角色)。

  • 可执行的操作。

  • 可对其执行操作的资源。

有关更多信息,请参阅中的使用终端节点策略控制对服务的访问权限 AWS PrivateLink 指南

您还可以在附加到用户、组或角色的策略中使用 Condition 字段,以仅允许通过指定的接口端点访问。结合使用时,端点策略和IAM策略可以将对指定账本的特定QLDB操作的访问权限限制为指定的接口端点。

端点策略示例:限制对特定QLDB账本的访问权限

以下是的自定义终端节点策略的示例QLDB。当您将此策略附加到接口端点时,它会向指定分类账资源上的所有委托人授予对 SendCommand 操作和 PartiQL 只读操作的访问权限。在此示例中,分类账必须处于 STANDARD 权限模式。

要使用此政策,请替换 us-east-1, 123456789012,以及 myExampleLedger 在示例中包含您自己的信息。

{
   "Statement": [
      {
         "Sid": "QLDBSendCommandPermission",
         "Principal": "*",
         "Effect": "Allow",
         "Action": "qldb:SendCommand",
         "Resource": "arn:aws:qldb:us-east-1:123456789012:ledger/myExampleLedger"
      },
      {
         "Sid": "QLDBPartiQLReadOnlyPermissions",
         "Principal": "*",
         "Effect": "Allow",
         "Action": [
            "qldb:PartiQLSelect",
            "qldb:PartiQLHistoryFunction"
         ],
         "Resource": [
            "arn:aws:qldb:us-east-1:123456789012:ledger/myExampleLedger/table/*",
            "arn:aws:qldb:us-east-1:123456789012:ledger/myExampleLedger/information_schema/user_tables"
         ]
      }
   ]
}
IAM策略示例:仅限制从特定接口端点访问QLDB账本

以下是IAM基于身份的策略的示例。QLDB当您将此策略附加到用户、角色或组时,它只允许从指定的接口端点SendCommand访问分类账资源。

要使用此政策,请替换 us-east-1, 123456789012, myExampleLedger,以及 vpce-1a2b3c4d 在示例中包含您自己的信息。

{
   "Version": "2012-10-17",
   "Statement": [
      {
         "Sid": "AccessFromSpecificInterfaceEndpoint",
         "Effect": "Deny",
         "Action": "qldb:SendCommand",
         "Resource": "arn:aws:qldb:us-east-1:123456789012:ledger/myExampleLedger",
         "Condition": {
            "StringNotEquals": {
               "aws:sourceVpce": "vpce-1a2b3c4d"
            }
         }
      }
   ]
}

接口终端节点的可用性 QLDB

Amazon QLDB 支持接口终端节点,其中包含所有策略 AWS 区域 在QLDB哪里可用。有关可用区域的完整列表,请参阅中的 Amazon QLDB 终端节点和配额 AWS 一般参考.