本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 搭配介面 VPC 端點使用 Amazon Kinesis Data Streams
您可以使用介面 VPC 端點來防止 Amazon VPC 和 Kinesis Data Streams 之間的流量離開 Amazon 網路。介面 VPC 端點不需要網際網路閘道、NAT 裝置、VPN 連線或 Direct Connect 連線。介面 VPC 端點採用 AWS PrivateLink 技術,這項 AWS 技術可讓您在 Amazon VPC 中使用具有私有 IPs彈性網路介面,在 AWS 服務之間進行私有通訊。如需詳細資訊,請參閱 [Amazon Virtual Private Cloud](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Introduction.html) 和[界面 VPC 端點 (AWS PrivateLink)](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#create-interface-endpoint)。
**Topics**
+ [使用 Kinesis Data Streams 的介面 VPC 端點](#using-interface-vpc-endpoints)
+ [控制對 Kinesis Data Streams VPC 端點的存取](#interface-vpc-endpoints-policies)
+ [Kinesis Data Streams 的 VPC 端點政策可用性](#availability)
## 使用 Kinesis Data Streams 的介面 VPC 端點
若要開始使用,您不需要變更串流、生產者或消費者的設定。為您的 Kinesis Data Streams 建立介面 VPC 端點,以啟動透過介面 VPC 端點往返 Amazon VPC 資源的流量。啟用 FIPS 的界面 VPC 端點適用於美國區域。如需詳細資訊,請參閱[建立界面端點](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#create-interface-endpoint)。
Amazon Kinesis Producer Library (KPL) 和 Kinesis Consumer Library (KCL) 呼叫 AWS 服務,例如使用公有端點或私有介面 VPC 端點的 Amazon CloudWatch 和 Amazon DynamoDB,以使用中者為準。例如,如果您的 KCL 應用程式在已啟用 VPC 端點的 DynamoDB 介面的 VPC 中執行,則 DynamoDB 與 KCL 應用程式之間的呼叫會流經介面 VPC 端點。
## 控制對 Kinesis Data Streams VPC 端點的存取
VPC 端點政策可讓您透過將政策連接至 VPC 端點,或使用連接至 IAM 使用者、群組或角色的政策中的其他欄位來控制存取,以限制只能透過指定的 VPC 端點進行存取。將這些政策與 IAM 政策搭配使用時,將特定串流的存取權限制在指定的 VPC 端點,以僅透過指定的 VPC 端點授予對 Kinesis 資料串流動作的存取權。
以下是存取 Kinesis 資料串流的範例端點政策。
+ **VPC 政策範例:唯讀存取** – 此範例政策可連接到 VPC 端點。(如需詳細資訊,請參閱 [控制 Amazon VPC 資源的存取](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_IAM.html))。它會將動作限制為僅能透過其連接的 VPC 端點列出和描述 Kinesis 資料串流。
```
{
"Statement": [
{
"Sid": "ReadOnly",
"Principal": "*",
"Action": [
"kinesis:List*",
"kinesis:Describe*"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
+ **VPC 政策範例:限制對特定 Kinesis 資料串流的存取** – 此範例政策可連接到 VPC 端點。它會限制僅能透過其所連接的 VPC 端點存取特定資料串流。
```
{
"Statement": [
{
"Sid": "AccessToSpecificDataStream",
"Principal": "*",
"Action": "kinesis:*",
"Effect": "Allow",
"Resource": "arn:aws:kinesis:us-east-1:123456789012:stream/MyStream"
}
]
}
```
+ **IAM 政策範例:限制只能從特定 VPC 端點存取特定串流** - 此範例政策可以連接到 IAM 使用者、角色或群組。它會限制僅從指定的 VPC 端點對指定的 Kinesis 資料串流進行存取。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AccessFromSpecificEndpoint",
"Action": "kinesis:*",
"Effect": "Deny",
"Resource": "arn:aws:kinesis:us-east-1:123456789012:stream/MyStream",
"Condition": { "StringNotEquals" : { "aws:sourceVpce": "vpce-11aa22bb" } }
}
]
}
```
------
## Kinesis Data Streams 的 VPC 端點政策可用性
下列 區域支援 Kinesis Data Streams 介面 VPC 端點與 政策:
+ Europe (Paris)
+ 歐洲 (愛爾蘭)
+ 美國東部 (維吉尼亞北部)
+ 歐洲 (斯德哥爾摩)
+ 美國東部 (俄亥俄)
+ 歐洲 (法蘭克福)
+ 南美洲 (聖保羅)
+ 歐洲 (倫敦)
+ 亞太地區 (東京)
+ 美國西部 (加利佛尼亞北部)
+ 亞太地區 (新加坡)
+ 亞太地區 (雪梨)
+ 中國 (北京)
+ 中國 (寧夏)
+ 亞太地區 (香港)
+ Middle East (Bahrain)
+ 中東 (阿拉伯聯合大公國)
+ 歐洲 (米蘭)
+ 非洲 (開普敦)
+ 亞太地區 (孟買)
+ 亞太地區 (首爾)
+ 加拿大 (中部)
+ 美國西部 (奧勒岡),usw2-az4 除外
+ AWS GovCloud (美國東部)
+ AWS GovCloud (美國西部)
+ 亞太地區 (大阪)
+ 歐洲 (蘇黎世)
+ 亞太地區 (海德拉巴)