ElastiCache API 和界面 VPC 端點 (AWS PrivateLink) - Amazon ElastiCache
VPC 端點的考量事項為 ElastiCache API 建立界面 VPC 端點為 Amazon ElastiCache API 建立 VPC 端點政策

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

ElastiCache API 和界面 VPC 端點 (AWS PrivateLink)

您可以建立界面 VPC 端點,以在您的 VPC 與 Amazon ElastiCache API 端點之間建立私有連線。介面端點由 提供支援AWS PrivateLink。 AWS PrivateLink 可讓您在沒有網際網路閘道、NAT 裝置、VPN 連線或 AWS Direct Connect 連線的情況下,私下存取 Amazon ElastiCache API 操作。

VPC 中的執行個體不需要公有 IP 地址,即能與 Amazon ElastiCache API 端點通訊。您的執行個體也不需要公有 IP 地址,就能使用任何可用的 ElastiCache API 操作。您的 VPC 與 Amazon ElastiCache 之間的流量,都會在 Amazon 網路的範圍內。每個界面端點都是由您子網路中的一或多個彈性網路界面表示。如需彈性網路界面的詳細資訊,請參閱 Amazon EC2 使用者指南中的彈性網路界面

在建立界面 VPC 端點之後,如果您針對端點啟用私有 DNS 主機名稱,則預設 ElastiCache 端點 (https://elasticache.Region.amazonaws.com) 會解析為您的 VPC 端點。如果您尚未啟用私有 DNS 主機名稱,Amazon VPC 會透過以下格式提供一個 DNS 端點名稱,供您使用:

VPC_Endpoint_ID.elasticache.Region.vpce.amazonaws.com

如需詳細資訊,請參閱《Amazon VPC 使用者指南》中的界面 VPC 端點 (AWS PrivateLink)。ElastiCache 支援在您的 VPC 內呼叫其所有 API 動作

注意

  • Privatelink VPC 端點目前可在下列區域中用於 ElastiCache:AF-SOUTH-1, AP-EAST-1, AP-NORTHEAST-1, AP-NORTHEAST-2, AP-NORTHEAST-3, AP-SOUTH-1, AP-SOUTHEAST-1, AP-SOUTHEAST-2, CA-CENTRAL-1, CN-NORTH-1, CN-NORTHWEST-1, EU-CENTRAL-1, EU-NORTH-1, EU-SOUTH-1, EU-WEST-1, EU-WEST-2, EU-WEST-3, ME-SOUTH-1, SA-EAST-1, US-EAST-1, US-EAST-2, US-WEST-1 US-WEST-2

  • 只能為 VPC 中的一個 VPC 端點啟用私人 DNS 主機名稱。如果您想要建立其他 VPC 端點,則應停用該端點的私人 DNS 主機名稱。

在設定 Amazon ElastiCache API 端點的界面 VPC 端點前,請務必參閱《Amazon VPC 使用者指南》‬中的‬界面端點屬性和限制‬。所有與管理 Amazon ElastiCache 資源相關的 ElastiCache API 操作,都可從使用 AWS PrivateLink的 VPC 使用。

ElastiCache API 端點支援 VPC 端點政策。預設允許透過端點完整存取 ElastiCache API 操作。如需詳細資訊,請參閱《Amazon VPC 使用者指南》中的使用 VPC 端點控制對服務的存取

您可使用 Amazon VPC 主控台或 AWS CLI,為 Amazon ElastiCache API 建立 VPC 端點。如需詳細資訊,請參閱《Amazon VPC 使用者指南》中的建立介面端點

在您建立界面 VPC 端點後,您可以為該端點啟用私有 DNS 主機名稱。啟用後,預設 Amazon ElastiCache 端點 (https://elasticache.Region.amazonaws.com) 會解析為您的 VPC 端點。對於中國 (北京) 和中國 (寧夏) AWS 區域,您可以使用elasticache---cn-north-1.amazonaws.com.rproxy.goskope.com.cn適用於北京的 和elasticache---cn-northwest-1.amazonaws.com.rproxy.goskope.com.cn適用於寧夏的 ,透過 VPC 端點提出 API 請求。如需詳細資訊,請參閱《Amazon VPC 使用者指南》中的透過介面端點存取服務

您可以將端點政策連接至控制 ElastiCache API 存取權限的 VPC 端點。此政策會指定以下項目:

  • 可執行動作的主體。

  • 可執行的動作。

  • 可供執行動作的資源。

如需詳細資訊,請參閱 Amazon VPC 使用者指南中的使用 VPC 端點控制對服務的存取

範例 搭配 Valkey 或 Redis OSS 的 ElastiCache API 動作的 VPC 端點政策

以下是 ElastiCache API 端點政策的範例。連接至端點後,此政策會針對所有資源上的所有主體,授予列出的 ElastiCache API 動作的存取權限。

{
	"Statement": [{
		"Principal": "*",
		"Effect": "Allow",
		"Action": [
			"elasticache:CreateCacheCluster",
			"elasticache:ModifyCacheCluster",
			"elasticache:CreateSnapshot"
		],
		"Resource": "*"
	}]
}
範例 ElastiCache for Memcached API 動作的 VPC 端點政策

以下是 ElastiCache API 端點政策的範例。連接至端點後,此政策會針對所有資源上的所有主體,授予列出的 ElastiCache API 動作的存取權限。

{
	"Statement": [{
		"Principal": "*",
		"Effect": "Allow",
		"Action": [
			"elasticache:CreateCacheCluster",
			"elasticache:ModifyCacheCluster"			
		],
		"Resource": "*"
	}]
}
範例 VPC 端點政策拒絕來自指定 AWS 帳戶的所有存取

下列 VPC 端點政策拒絕 AWS 帳戶 123456789012 使用端點存取資源。此政策允許來自其他帳戶的所有動作。

{
	"Statement": [{
			"Action": "*",
			"Effect": "Allow",
			"Resource": "*",
			"Principal": "*"
		},
		{
			"Action": "*",
			"Effect": "Deny",
			"Resource": "*",
			"Principal": {
				"AWS": [
					"123456789012"
				]
			}
		}
	]
}