搭配介面VPC端點使用 Amazon Kinesis Data Streams - Amazon Kinesis Data Streams
使用 Kinesis Data Streams 的介面VPC端點控制對 Kinesis Data Streams VPC端點的存取Kinesis Data Streams VPC端點政策的可用性

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

搭配介面VPC端點使用 Amazon Kinesis Data Streams

您可以使用介面VPC端點來防止 Amazon VPC和 Kinesis Data Streams 之間的流量離開 Amazon 網路。介面VPC端點不需要網際網路閘道、NAT裝置、VPN連線或 AWS Direct Connect 連線。介面VPC端點採用 AWS PrivateLink,這項 AWS 技術可讓您在 Amazon IPs中使用具有私有的彈性網路介面,在 AWS 服務之間進行私有通訊VPC。如需詳細資訊,請參閱 Amazon Virtual Private Cloud介面VPC端點 (AWS PrivateLink)

使用 Kinesis Data Streams 的介面VPC端點

若要開始使用,您不需要變更串流、生產者或取用者的設定。為您的 Kinesis Data Streams 建立介面VPC端點,以開始透過介面VPC端點從 Amazon VPC 資源流入和流至 Amazon 資源的流量。FIPS已啟用 的介面VPC端點適用於美國區域。如需詳細資訊,請參閱建立界面端點

Kinesis Producer Library (KPL) 和 Kinesis Consumer Library (KCL) 呼叫 AWS 服務,例如使用公有端點或私有介面VPC端點的 Amazon CloudWatch 和 Amazon DynamoDB,以使用中者為準。例如,如果您KCL的應用程式在已啟用VPC端點VPC的 DynamoDB 介面 中執行,則 DynamoDB 與KCL應用程式之間會呼叫您透過介面VPC端點的流量。

控制對 Kinesis Data Streams VPC端點的存取

VPC 端點政策可讓您透過將政策連接至VPC端點或使用政策中的其他欄位來控制存取,這些欄位會連接至IAM使用者、群組或角色,以限制僅透過指定的VPC端點進行存取。使用這些政策時,當特定串流與IAM政策搭配使用時,請限制對指定VPC端點的特定串流的存取,以透過指定的VPC端點僅授予對 Kinesis 資料串流動作的存取。

以下是存取 Kinesis 資料串流的範例端點政策。

  • VPC 政策範例:唯讀存取 - 此範例政策可以連接至VPC端點。(如需詳細資訊,請參閱控制對 Amazon VPC 資源的存取 )。它將動作限制為僅列出和描述透過其連接VPC端點的 Kinesis 資料串流。

    
{
  "Statement": [
    {
      "Sid": "ReadOnly",
      "Principal": "*",
      "Action": [
        "kinesis:List*",
        "kinesis:Describe*"
      ],
      "Effect": "Allow",
      "Resource": "*"
    }
  ]
}

  • VPC 政策範例:限制對特定 Kinesis 資料串流的存取 - 此範例政策可以連接至VPC端點。它限制透過其連接的VPC端點存取特定資料串流。

    
{
  "Statement": [
    {
      "Sid": "AccessToSpecificDataStream",
      "Principal": "*",
      "Action": "kinesis:*",
      "Effect": "Allow",
      "Resource": "arn:aws:kinesis:us-east-1:123456789012:stream/MyStream"
    }
  ]
}

  • IAM 政策範例:限制只能從特定VPC端點存取特定串流 - 此範例政策可以連接至IAM使用者、角色或群組。它限制只能從指定的VPC端點存取指定的 Kinesis 資料串流。

    
{
   "Version": "2012-10-17",
   "Statement": [
      {
         "Sid": "AccessFromSpecificEndpoint",
         "Action": "kinesis:*",
         "Effect": "Deny",
         "Resource": "arn:aws:kinesis:us-east-1:123456789012:stream/MyStream",
         "Condition": { "StringNotEquals" : { "aws:sourceVpce": "vpce-11aa22bb" } }
      }
   ]
}

Kinesis Data Streams VPC端點政策的可用性

下列 區域支援具有政策的 Kinesis Data Streams 介面VPC端點:

  • Europe (Paris)

  • 歐洲 (愛爾蘭)

  • 美國東部 (維吉尼亞北部)

  • 歐洲 (斯德哥爾摩)

  • 美國東部 (俄亥俄)

  • 歐洲 (法蘭克福)

  • 南美洲 (聖保羅)

  • 歐洲 (倫敦)

  • 亞太區域 (東京)

  • 美國西部 (加利佛尼亞北部)

  • 亞太區域 (新加坡)

  • 亞太區域 (悉尼)

  • 中國 (北京)

  • 中國 (寧夏)

  • 亞太區域 (香港)

  • Middle East (Bahrain)

  • 中東 (UAE)

  • 歐洲 (米蘭)

  • 非洲 (開普敦)

  • 亞太區域 (孟買)

  • 亞太區域 (首爾)

  • 加拿大 (中部)

  • 美國西部 (奧勒岡),usw2-az4 除外

  • AWS GovCloud (美國東部)

  • AWS GovCloud (美國西部)

  • 亞太區域 (大阪)

  • 歐洲 (蘇黎世)

  • 亞太區域 (海德拉巴)