本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# Amazon RDS API 和界面 VPC 端點 (AWS PrivateLink)
您可以建立*界面 VPC 端點*,以在您的 VPC 與 Amazon RDS API 端點之間建立私有連線。界面端點是採用 [AWS PrivateLink](https://aws.amazon.com/privatelink) 技術。
AWS PrivateLink 可讓您在沒有網際網路閘道、NAT 裝置、VPN 連線或 Direct Connect 連線的情況下,私下存取 Amazon RDS API 操作。VPC 中的資料庫執行個體不需要公有 IP 地址,就能與 Amazon RDS API 端點進行通訊,以啟動、修改或終止資料庫執行個體。您的資料庫執行個體也不需要公有 IP 地址,就能使用任何可用的 RDS API 操作。您的 VPC 與 Amazon RDS 之間的流量,都會在 Amazon 網路的範圍內。
每個界面端點都是由您子網路中的一或多個彈性網路界面表示。如需彈性網路界面的詳細資訊,請參閱 *Amazon EC2 使用者指南*中的[彈性網路界面](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html)。
如需 VPC 端點的詳細資訊,請參閱《*Amazon* [VPC 使用者指南》中的界面 VPC 端點 (AWS PrivateLink)](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html)。如需 RDS API 操作的資訊,請參閱 [Amazon RDS API 參考](https://docs.aws.amazon.com/AmazonRDS/latest/APIReference/)。
您連線至資料庫執行個體時不需要界面 VPC 端點。如需詳細資訊,請參閱[在 VPC 中存取資料庫執行個體的案例](USER_VPC.Scenarios.md)。
## VPC 端點的考量事項
在設定 Amazon RDS API 端點的界面 VPC 端點前,請務必檢閱《*Amazon VPC 使用者指南*》中的[界面端點屬性和限制](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#vpce-interface-limitations)。
所有與管理 Amazon RDS 資源相關的 RDS API 操作都從使用 AWS PrivateLink的 VPC 提供。
RDS API 端點支援 VPC 端點政策。根據預設,允許透過端點對 RDS API 操作進行完整存取。如需詳細資訊,請參閱《*Amazon VPC 使用者指南*》中的[使用 VPC 端點控制對服務的存取](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html)。
## 可用性
Amazon RDS API 目前在下列 AWS 區域中支援 VPC 端點:
+ 美國東部 (俄亥俄)
+ 美國東部 (維吉尼亞北部)
+ 美國西部 (加利佛尼亞北部)
+ 美國西部 (奧勒岡)
+ 非洲 (開普敦)
+ 亞太區域 (香港)
+ Asia Pacific (Mumbai)
+ 亞太區域 (紐西蘭)
+ 亞太地區 (大阪)
+ 亞太區域 (首爾)
+ 亞太區域 (新加坡)
+ 亞太地區 (雪梨)
+ 亞太區域 (台北)
+ 亞太區域 (泰國)
+ 亞太地區 (東京)
+ 加拿大 (中部)
+ 加拿大西部 (卡加利)
+ 中國 (北京)
+ 中國 (寧夏)
+ 歐洲 (法蘭克福)
+ 歐洲 (蘇黎世)
+ 歐洲 (愛爾蘭)
+ 歐洲 (倫敦)
+ 歐洲 (巴黎)
+ 歐洲 (斯德哥爾摩)
+ 歐洲 (米蘭)
+ 以色列 (特拉維夫)
+ 墨西哥 (中部)
+ Middle East (Bahrain)
+ 南美洲 (聖保羅)
+ AWS GovCloud (美國東部)
+ AWS GovCloud (美國西部)
## 為 Amazon RDS API 建立界面 VPC 端點
您可以使用 Amazon VPC 主控台或 AWS Command Line Interface () 為 Amazon RDS API 建立 VPC 端點AWS CLI。如需詳細資訊,請參閱 *Amazon VPC 使用者指南*中的[建立介面端點](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#create-interface-endpoint)。
使用服務名稱 `com.amazonaws.region.rds`,為 Amazon RDS API 建立 VPC 端點。
排除中國 AWS 的區域,如果您為端點啟用私有 DNS,您可以使用 VPC 端點對 Amazon RDS 提出 API 請求,並使用其區域的預設 DNS 名稱 AWS ,例如 `rds.us-east-1.amazonaws.com`。對於中國 (北京) 和中國 (寧夏) AWS 區域,您可以`rds-api---cn-northwest-1.amazonaws.com.rproxy.goskope.com.cn`分別使用 `rds-api---cn-north-1.amazonaws.com.rproxy.goskope.com.cn`和 使用 VPC 端點提出 API 請求。
如需詳細資訊,請參閱《Amazon VPC 使用者指南》**中的[透過介面端點存取服務](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#access-service-though-endpoint)。
## 為 Amazon RDS API 建立 VPC 端點政策
您可以將端點政策連接至控制 Amazon RDS API 存取權限的 VPC 端點。此政策會指定下列資訊:
+ 可執行動作的主體。
+ 可執行的動作。
+ 可供執行動作的資源。
如需詳細資訊,請參閱《*Amazon VPC 使用者指南*》中的[使用 VPC 端點控制對服務的存取](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html)。
**範例:Amazon RDS API 動作的 VPC 端點政策**
以下是 Amazon RDS API 端點政策的範例。連接至端點後,此政策會針對所有資源上的所有委託人,授予列出的 Amazon RDS API 動作的存取權限。
```
{
"Statement":[
{
"Principal":"*",
"Effect":"Allow",
"Action":[
"rds:CreateDBInstance",
"rds:ModifyDBInstance",
"rds:CreateDBSnapshot"
],
"Resource":"*"
}
]
}
```
**範例:拒絕來自指定 AWS 帳戶的所有存取的 VPC 端點政策**
下列 VPC 端點政策拒絕 AWS 使用端點帳戶對資源`123456789012`的所有存取。此政策允許來自其他帳戶的所有動作。
```
{
"Statement": [
{
"Action": "*",
"Effect": "Allow",
"Resource": "*",
"Principal": "*"
},
{
"Action": "*",
"Effect": "Deny",
"Resource": "*",
"Principal": { "AWS": [ "123456789012" ] }
}
]
}
```