本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AWS Data Exchange 和介面VPC端點 (AWS PrivateLink)
您可以在虛擬私有雲 (VPC) 和 AWS Data Exchange 建立介面VPC端點之間建立私有連線。介面端點採用技術 AWS PrivateLink
每個介面端點都是由您子網路中的一或多個彈性網路介面表示。
注意
支援的SendAPIAsset每個 AWS Data Exchange 動作 (除了) VPC。
如需詳細資訊,請參閱 Amazon VPC 使用者指南中的介面VPC端點 (AWS PrivateLink)。
AWS Data Exchange VPC端點的考量
在為其設定界面VPC端點之前 AWS Data Exchange,請務必先查看 Amazon VPC 使用者指南中的界面端點屬性和限制。
AWS Data Exchange 支持從API您的VPC.
為建立介面VPC端點 AWS Data Exchange
您可以使用 Amazon VPC 主控台或 AWS Command Line Interface (AWS CLI) 建立 AWS Data Exchange 服務的VPC端點。如需詳細資訊,請參閱 Amazon VPC 使用者指南中的建立介面端點。
建立 AWS Data Exchange 使用下列服務名稱的VPC端點:
-
com.amazonaws.region.dataexchange
如果您DNS為端點啟用 private,則可以 AWS Data Exchange 使用其預設DNS名稱發出API要求 AWS 區域,例如com.amazonaws.us-east-1.dataexchange。
如需詳細資訊,請參閱 Amazon VPC 使用者指南中的透過介面端點存取服務。
建立VPC端點策略 AWS Data Exchange
您可以將端點策略附加到控制對其存取的VPC端點 AWS Data Exchange。此政策會指定下列資訊:
-
可執行動作的委託人
-
可執行的動作
-
可在其中執行動作的資源
如需詳細資訊,請參閱 Amazon VPC 使用者指南中的使用VPC端點控制對服務的存取。
範例: AWS Data Exchange 處理行動的VPC端點策略
以下是的端點策略範例 AWS Data Exchange。連接至端點時,此策略會授與所有資源上所有主參與者所列 AWS Data Exchange 動作的存取權。
此範例VPC端點策略僅允許對來源bts中的使用者進行完整存 AWS 帳戶 123456789012取vpc-12345678。允許使readUser用者讀取資源,但拒絕所有其他IAM主體存取端點。
{ "Id": "example-policy", "Version": "2012-10-17", "Statement": [ { "Sid": "Allow administrative actions from vpc-12345678", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::123456789012:user/bts" ] }, "Action": "*", "Resource": "*", "Condition": { "StringEquals": { "aws:sourceVpc": "vpc-12345678" } } }, { "Sid": "Allow ReadOnly actions", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::123456789012:user/readUser" ] }, "Action": [ "dataexchange:list*", "dataexchange:get*" ], "Resource": "*", } ] }
