本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

通过端点连接到 InfluxDB 的时间流 VPC

你可以通过虚拟私有云中的私有接口端点直接连接到 InfluxDB 的 Timestream ()。VPC当你使用接口VPC端点时，你VPC和 InfluxDB 的 Timestream 之间的通信完全在网络内进行。 AWS

InfluxDB 的 Timestream 支持由提供支持的亚马逊虚拟私有云（亚马逊VPC）终端节点。AWS PrivateLink每个VPC端点都由一个或多个弹性网络接口 (ENIs) 表示，您的VPC子网中有私有 IP 地址。

接口VPC端点将您VPC直接连接到 InfluxDB 的 Timestream，无需互联网网关、NAT设备、VPN连接或连接。 AWS Direct Connect 你中的实例VPC不需要公有 IP 地址即可与 InfluxDB 的 Timestream 通信。

区域

InfluxDB 的 Timestream 支持VPC所有支持 InfluxDB 时间流 AWS 区域 的VPC端点和端点策略。

InfluxDB 端点的时间流VPC注意事项

在为 InfluxDB 的 Timestream 设置接口VPC端点之前，请查看指南中的接口端点属性和限制主题。AWS PrivateLink

InfluxDB 对VPC端点的支持的时间流包括以下内容。

为 InfluxD VPC B 的 Timestream 创建端点

你可以使用亚马逊VPC控制台或亚马逊为 InfluxDB 的 Timestream 创建VPC终端节点。VPC API有关更多信息，请参阅《AWS PrivateLink 指南》中的创建接口端点。

为了便于使用VPC终端节点，您可以为终VPC端节点启用私有DNS名称。如果您选择启用DNS名称选项，InfluxDB DNS 主机名的标准时间流将解析到您的端点。VPC例如，https://timestream-influxdb.us-west-2.amazonaws.com将解析为连接到服务名称的VPC端点com.amazonaws.us-west-2.timestream-influxdb。

使用此选项可以更轻松地使用VPC端点。默认情况下， AWS SDKs和 AWS CLI 使用标准的 Timestream 作为 InfluxDB DNS 主机名，因此您无需URL在应用程序和命令中指定VPC端点。

有关更多信息，请参阅 AWS PrivateLink 指南中的通过接口端点访问服务。

连接到 Inf VPC luxDB 端点的时间流

你可以使用或通过VPC端点连接到 InfluxDB 的 Timestream。 AWS SDK AWS CLI AWS Tools for PowerShell要指定VPC端点，请使用其DNS名称。

如果您在创建VPC终端节点时启用了私有主机名，则无需在CLI命令或应用程序配置URL中指定VPC终端节点。InfluxDB DNS 主机名的标准时间流解析到您的端点。VPC AWS CLI 和默认SDKs使用此主机名，因此您可以开始使用该端点连接到 InfluxDB 区域VPC端点的 Timestream，而无需更改脚本和应用程序中的任何内容。

要使用私有主机名，您的enableDnsHostnames和enableDnsSupport属性VPC必须设置为。true要设置这些属性，请使用ModifyVpcAttribute操作。有关详情，请参阅《Amazon VPC 用户指南》VPC中的查看和更新您的DNS属性。

控制对VPC终端节点的访问

要控制 InfluxDB Timestream 对VPC终端节点的访问权限，请将VPC终端节点策略附加到您的终端节点。VPC端点策略决定委托人是否可以使用VPC端点在 Timestream 上调用 Timestream 对 InfluxDB 资源进行 InfluxDB 操作。

您可以在创建VPC终端节点时创建终端节点策略，也可以随时更改VPC终端节点策略。使用VPC管理控制台或CreateVpcEndpoint或ModifyVpcEndpoint操作。您也可以使用 AWS CloudFormation 模板创建和更改VPC终端节点策略。有关使用VPC管理控制台的帮助，请参阅AWS PrivateLink 指南中的创建接口终端节点和修改接口终端节点。

关于VPC终端节点策略

要使使用VPC端点的 Timestream for InfluxDB 请求成功，委托人需要来自两个来源的权限：

默认VPC终端节点策略

每个VPC端点都有VPC终端节点策略，但您无需指定策略。如果未指定策略，则默认的终端节点策略允许所有委托人对终端节点上的所有资源执行所有操作。

但是，对于 InfluxDB 资源的 Timestream，委托人还必须拥有从IAM策略调用操作的权限。因此，实际上，默认策略规定，如果委托人有权对资源调用操作，他们也可以使用端点来调用该操作。

{
  "Statement": [
    {
      "Action": "*", 
      "Effect": "Allow", 
      "Principal": "*", 
      "Resource": "*"
    }
  ]
}

要允许委托人仅将VPC终端节点用于其允许的部分操作，请创建或更新VPC终端节点策略。

创建VPC终端节点策略

VPC终端节点策略决定委托人是否有权使用VPC终端节点对资源执行操作。对于 InfluxDB 资源的 Timestream，委托人还必须有权根据策略执行操作，IAM

每个VPC端点策略声明都需要以下元素：

策略声明未指定VPC终端节点。相反，它适用于该策略所关联的任何VPC终端节点。有关更多信息，请参阅 Amazon VPC 用户指南中的使用VPC终端节点控制对服务的访问。

AWS CloudTrail 记录使用该VPC终端节点的所有操作。

查看VPC终端节点策略

要查看VPC终端节点的终端节点策略，请使用VPC管理控制台或DescribeVpcEndpoints操作。

以下 AWS CLI 命令获取具有指定终端节点 ID 的终VPC端节点的策略。

在使用此命令之前，请将示例终端节点 ID 替换为您账户中的有效终端节点 ID。

$ aws ec2 describe-vpc-endpoints \

--query 'VpcEndpoints[?VpcEndpointId==`vpc-endpoint-id`].[PolicyDocument]'

--output text

在策略声明中使用VPC终端节点

当请求来自VPC或使用端点时，您可以控制对 InfluxDB 资源和操作的 Timestream 访问权限。VPC为此，请在IAM策略中使用以下全局条件密钥之一。

您可以使用这些全局条件键来控制对此类操作的访问权限 CreateDbInstance，这些操作不依赖于任何特定资源。

记录您的VPC终端节点

AWS CloudTrail 记录使用该VPC终端节点的所有操作。当向 Timestream for InfluxDB 发出的请求使用VPC端点时，VPC端点 ID 会出现在记录该请求的AWS CloudTrail 日志条目中。您可以使用端点 ID 来审计 Influx VPC DB 端点的 Timestream 使用情况。

但是，您的 CloudTrail 日志不包括其他账户中的委托人请求的操作，也不包括Timestream对InfluxDB资源和其他账户中的别名进行InfluxDB操作的请求。此外，为了保护您的安全VPC，被VPC终端节点策略拒绝但本来会被允许的请求不会记录在中AWS CloudTrail。