Performance-Insights-API und Schnittstellen-VPC-Endpunkte (AWS PrivateLink)
Sie können mit AWS PrivateLink eine private Verbindung zwischen Ihrer VPC und Erkenntnisse zur Amazon-RDS-Leistung herstellen. Sie können auf Performance Insights zugreifen, als wäre es in Ihrer VPC, ohne die Verwendung eines Internet-Gateways, NAT-Geräts, einer VPN-Verbindung oder einer AWS Direct Connect-Verbindung. Instances in Ihrer VPC benötigen keine öffentlichen IP-Adressen, um auf Performance Insights zuzugreifen.
Sie stellen diese private Verbindung her, indem Sie einen Schnittstellen-Endpunkt erstellen, der von AWS PrivateLink unterstützt wird. Wir erstellen eine Endpunkt-Netzwerkschnittstelle in jedem Subnetz, das Sie für den Schnittstellen-Endpunkt aktivieren. Hierbei handelt es sich um vom Anforderer verwaltete Netzwerkschnittstellen, die als Eingangspunkt für den Datenverkehr dienen, der für Performance Insights bestimmt ist.
Weitere Informationen finden Sie unter Zugriff auf AWS-Services über AWS PrivateLink im AWS PrivateLink-Leitfaden.
Überlegungen zu Performance Insights
Bevor Sie einen Schnittstellenendpunkt für Performance Insights einrichten, lesen Sie die Überlegungen im AWS PrivateLink-Leitfaden.
Performance Insights unterstützt Aufrufe an alle seine API-Aktionen über den Schnittstellenendpunkt.
Standardmäßig ist der vollständige Zugriff auf Performance Insights über den Endpunkt zulässig. Um den Datenverkehr zu Performance Insights über den Schnittstellenendpunkt zu steuern, ordnen Sie den Endpunkt-Netzwerkschnittstellen eine Sicherheitsgruppe zu.
Verfügbarkeit
Die Performance-Insights-API unterstützt derzeit VPC-Endpunkte in AWS-Regionen, die Performance Insights unterstützen. Weitere Informationen zu Performance Insights finden Sie unter Unterstützte Regionen und DB-Engines für Performance Insights in Amazon RDS .
Erstellen eines Schnittstellenendpunkts für Performance Insights
Sie können einen Schnittstellenendpunkt für Performance Insights entweder über die Amazon-VPC-Konsole oder die AWS Command Line Interface (AWS CLI) erstellen. Weitere Informationen finden Sie unter Erstellen eines Schnittstellenendpunkts im AWS PrivateLink-Leitfaden.
Erstellen Sie einen Schnittstellenendpunkt für Performance Insights mit dem folgenden Service-Namen:
Wenn Sie privates DNS für den Schnittstellenendpunkt aktivieren, können Sie API-Anforderungen an Performance Insights mit dem standardmäßigen regionalen DNS-Namens stellen. Beispiel, pi.us-east-1.amazonaws.com.
Erstellen einer VPC-Endpunktrichtlinie für die Performance-Insights-API
Eine Endpunktrichtlinie ist eine IAM-Ressource, die Sie an einen Schnittstellen-Endpunkt anfügen können. Die Standard-Endpunktrichtlinie ermöglicht den vollständigen Zugriff auf Performance Insights über den Schnittstellen-Endpunkt. Um den Zugriff auf Performance Insights von Ihrer VPC aus zu steuern, fügen Sie eine benutzerdefinierte Endpunktrichtlinie an den Schnittstellenendpunkt an.
Eine Endpunktrichtlinie gibt die folgenden Informationen an:
-
Die Prinzipale, die Aktionen ausführen können (AWS-Konten, IAM-Benutzer und IAM-Rollen).
-
Aktionen, die ausgeführt werden können
-
Die Ressourcen, auf denen die Aktionen ausgeführt werden können.
Weitere Informationen finden Sie unter Steuern des Zugriffs auf Services mit Endpunktrichtlinien im AWS PrivateLink-Leitfaden.
Beispiel: VPC-Endpunktrichtlinie für Performance-Insights-Aktionen
Im Folgenden finden Sie ein Beispiel für eine benutzerdefinierte Endpunktrichtlinie. Wenn Sie diese Richtlinie an Ihren Schnittstellenendpunkt anfügen, gewährt sie allen Prinzipalen auf allen Ressourcen den Zugriff auf die aufgeführten Performance-Insights-Aktionen.
{ "Statement":[ { "Principal":"*", "Effect":"Allow", "Action":[ "rds:CreatePerformanceAnalysisReport", "rds:DeletePerformanceAnalysisReport", "rds:GetPerformanceAnalysisReport" ], "Resource":"*" } ] }
VPC-Endpunkt-Richtlinie, die den gesamten Zugriff über ein angegebenes AWS-Konto verweigert
Die folgende VPC-Endpunktrichtlinie verweigert dem AWS-Konto 123456789012 jeglichen Zugriff auf Ressourcen, die den Endpunkt verwenden. Die Richtlinie erlaubt alle Aktionen von anderen Konten.
{ "Statement": [ { "Action": "*", "Effect": "Allow", "Resource": "*", "Principal": "*" }, { "Action": "*", "Effect": "Deny", "Resource": "*", "Principal": { "AWS": [ "123456789012" ] } } ] }
IP-Adressierung für Performance Insights
IP-Adressen ermöglichen es Ressourcen in Ihrer VPC untereinander und mit Ressourcen im Internet zu kommunizieren. Performance Insights unterstützt sowohl IPv4- als auch IPv6-Adressierungsprotokolle. Standardmäßig verwenden Performance Insights API und Amazon VPC das IPv4-Adressierungsprotokoll. Sie können dieses Standardverhalten nicht deaktivieren. Wenn Sie eine VPC erstellen, müssen Sie einen IPv4 CIDR-Block (einen privaten IPv4-Adressenbereich) angeben.
Sie können Ihrer VPC und Ihren Subnetzen optional einen IPv6-CIDR-Block zuweisen und IPv6-Adressen aus diesem Block den RDS-Ressourcen in Ihrem Subnetz zuweisen. Durch die Unterstützung des IPv6-Protokolls wird die Anzahl der unterstützten IP-Adressen erweitert. Durch die Verwendung des IPv6-Protokolls stellen Sie sicher, dass Sie über ausreichende verfügbare Adressen für das künftige Wachstum des Internets verfügen. Neue und vorhandene RDS-Ressourcen können IPv4- und IPv6-Adressen innerhalb Ihrer VPC verwenden. Das Konfigurieren, Sichern und Übersetzen des Netzwerkverkehrs zwischen den beiden Protokollen, die in verschiedenen Teilen einer Anwendung verwendet werden, können den Betriebsaufwand erhöhen. Sie können das IPv6-Protokoll für Amazon-RDS-Ressourcen standardisieren, um Ihre Netzwerkkonfiguration zu vereinfachen. Weitere Hinweise zu Service-Endpunkten und -Kontingenten finden Sie unter Endpunkte und Kontingente von Amazon Relational Database Service.
Weitere Informationen zur IP-Adressierung von Amazon RDS finden Sie unter Amazon-RDS-IP-Adressierung.
