選取您的 Cookie 偏好設定

我們使用提供自身網站和服務所需的基本 Cookie 和類似工具。我們使用效能 Cookie 收集匿名統計資料,以便了解客戶如何使用我們的網站並進行改進。基本 Cookie 無法停用,但可以按一下「自訂」或「拒絕」以拒絕效能 Cookie。

如果您同意,AWS 與經核准的第三方也會使用 Cookie 提供實用的網站功能、記住您的偏好設定,並顯示相關內容,包括相關廣告。若要接受或拒絕所有非必要 Cookie,請按一下「接受」或「拒絕」。若要進行更詳細的選擇,請按一下「自訂」。

偏好設定
聯絡我們
意見回饋
AWS Documentation
建立 AWS 帳戶
使用介面端點 (AWS PrivateLink) 存取 Amazon QLDB - Amazon Quantum Ledger Database (Amazon QLDB)
考量事項建立介面端點建立端點政策介面端點的可用性

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用介面端點 (AWS PrivateLink) 存取 Amazon QLDB

PDFRSS
重要

支援終止通知:現有客戶將可以使用 Amazon QLDB,直到 07/31/2025 的支援結束為止。如需詳細資訊,請參閱將 Amazon QLDB Ledger 遷移至 Amazon Aurora PostgreSQL

您可以使用 在 VPC 和 Amazon QLDB 之間 AWS PrivateLink 建立私有連線。您可以像在 VPC 中一樣存取 QLDB,無需使用網際網路閘道、NAT 裝置、VPN 連線或 AWS Direct Connect 連線。VPC 中的執行個體不需要公有 IP 地址即可存取 QLDB。

您可以建立由 AWS PrivateLink提供支援的介面端點來建立此私有連線。我們會在您為介面端點啟用的每個子網中建立端點網路介面。這些是請求者管理的網路介面,可做為目的地為 QLDB 之流量的進入點。

如需詳細資訊,請參閱「AWS PrivateLink 指南」中的透過 AWS PrivateLink存取 AWS 服務

QLDB 的考量事項

在您設定 QLDB 的介面端點之前,請檢閱 AWS PrivateLink 指南中的考量事項

注意

QLDB 僅支援透過介面端點呼叫 QLDB 工作階段交易資料 API。此 API 僅包含 SendCommand 操作。在分類帳的STANDARD許可模式中,您可以控制此 API 中特定 PartiQL 動作的許可。

建立 QLDB 的介面端點

您可以使用 Amazon VPC 主控台或 AWS Command Line Interface () 建立 QLDB 的介面端點AWS CLI。如需詳細資訊,請參閱《AWS PrivateLink 指南》中的建立介面端點

使用下列服務名稱建立 QLDB 的介面端點:

com.amazonaws.region.qldb.session

如果您為介面端點啟用私有 DNS,您可以使用其預設的區域 DNS 名稱向 QLDB 提出 API 請求。例如:session.qldb.us-east-1.amazonaws.com

為您的介面端點建立端點政策

端點政策為 IAM 資源,您可將其連接至介面端點。預設端點政策允許透過介面端點完整存取 QLDB。若要控制允許從 VPC 存取 QLDB 的權限,請將自訂端點政策連接至介面端點。

端點政策會指定以下資訊:

  • 可執行動作的主體 (AWS 帳戶、使用者和角色)。

  • 可執行的動作。

  • 可供執行動作的資源。

如需詳細資訊,請參閱「AWS PrivateLink 指南」中的使用端點政策控制對服務的存取

您也可以在連接到使用者、群組或角色的政策中使用 Condition 欄位,僅允許從指定的介面端點存取。同時使用時,端點政策和 IAM 政策可以將特定分類帳上特定 QLDB 動作的存取權限制為指定的介面端點。

端點政策範例:限制對特定 QLDB 分類帳的存取

以下是 QLDB 自訂端點政策的範例。當您將此政策連接至介面端點時,它會授予指定分類帳資源上所有主體對 SendCommand 動作和 PartiQL 唯讀動作的存取權。在此範例中,分類帳必須處於STANDARD許可模式。

若要使用此政策,請將範例中的 us-east-1123456789012myExampleLedger 取代為您自己的資訊。

{
   "Statement": [
      {
         "Sid": "QLDBSendCommandPermission",
         "Principal": "*",
         "Effect": "Allow",
         "Action": "qldb:SendCommand",
         "Resource": "arn:aws:qldb:us-east-1:123456789012:ledger/myExampleLedger"
      },
      {
         "Sid": "QLDBPartiQLReadOnlyPermissions",
         "Principal": "*",
         "Effect": "Allow",
         "Action": [
            "qldb:PartiQLSelect",
            "qldb:PartiQLHistoryFunction"
         ],
         "Resource": [
            "arn:aws:qldb:us-east-1:123456789012:ledger/myExampleLedger/table/*",
            "arn:aws:qldb:us-east-1:123456789012:ledger/myExampleLedger/information_schema/user_tables"
         ]
      }
   ]
}
IAM 政策範例:僅限從特定介面端點限制對 QLDB 分類帳的存取

以下是 QLDB 的 IAM 身分型政策範例。當您將此政策連接到使用者、角色或群組時,它僅允許從指定的介面端點SendCommand存取分類帳資源。

若要使用此政策,請將範例中的 us-east-1123456789012myExampleLedgervpce-1a2b3c4d 取代為您自己的資訊。

{
   "Version": "2012-10-17",
   "Statement": [
      {
         "Sid": "AccessFromSpecificInterfaceEndpoint",
         "Effect": "Deny",
         "Action": "qldb:SendCommand",
         "Resource": "arn:aws:qldb:us-east-1:123456789012:ledger/myExampleLedger",
         "Condition": {
            "StringNotEquals": {
               "aws:sourceVpce": "vpce-1a2b3c4d"
            }
         }
      }
   ]
}

QLDB 的介面端點可用性

Amazon QLDB 支援介面端點,其具有 QLDB 可用之所有 AWS 區域 中的政策。如需可用區域的完整清單,請參閱 中的 Amazon QLDB 端點和配額AWS 一般參考

下一個主題:

故障診斷

上一個主題:

基礎架構安全

需要協助?

隱私權網站條款Cookie 偏好設定
© 2025, Amazon Web Services, Inc.或其附屬公司。保留所有權利。