API Performance Insights et points de terminaison de VPC d’interface (AWS PrivateLink) - Amazon Aurora
ConsidérationsDisponibilitéCréation d’un point de terminaison d’interfaceCréation d’une stratégie de point de terminaison de VPCAdressage IP

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

API Performance Insights et points de terminaison de VPC d’interface (AWS PrivateLink)

Vous pouvez utiliser AWS PrivateLink pour créer une connexion privée entre votre VPC et l’Analyse des performances d’Amazon RDS. Vous pouvez accéder à Performance Insights comme si le service se trouvait dans votre VPC, sans passerelle Internet, périphérique NAT, connexion VPN ou connexion Direct Connect. Les instances de votre VPC ne nécessitent pas d’adresses IP publiques pour accéder à Performance Insights.

Vous établissez cette connexion privée en créant un point de terminaison d’interface optimisé par AWS PrivateLink. Nous créons une interface réseau de point de terminaison dans chaque sous-réseau que vous activez pour le point de terminaison d’interface. Il s’agit d’interfaces réseau gérées par le demandeur qui servent de point d’entrée pour le trafic destiné à Performance Insights.

Pour plus d’informations, consultez Accès aux Services AWS via AWS PrivateLink dans le Guide AWS PrivateLink.

Considérations relatives à Performance Insights

Avant de configurer un point de terminaison d’interface pour Performance Insights, consultez Considérations dans le Guide AWS PrivateLink.

Performance Insights prend en charge les appels vers toutes ses actions d’API via le point de terminaison d’interface.

Par défaut, l’accès complet à Performance Insights est autorisé via le point de terminaison d’interface. Pour contrôler le trafic vers Performance Insights via le point de terminaison d’interface, associez un groupe de sécurité aux interfaces réseau de ce point de terminaison.

Disponibilité

L’API Performance Insights prend actuellement en charge les points de terminaison de VPC dans Régions AWS compatibles avec Performance Insights. Pour en savoir plus sur la disponibilité de Performance Insights, consulter Régions et moteurs de base de données Aurora pris en charge pour Performance Insights.

Créez un point de terminaison d’interface pour Performance Insights

Vous pouvez créer un point de terminaison d’interface pour Performance Insights à l’aide de la console Amazon VPC ou de l’AWS Command Line Interface (AWS CLI). Pour plus d’informations, consultez Création d’un point de terminaison d’interface dans le Guide AWS PrivateLink.

Créez un point de terminaison d’interface pour Performance Insights à l’aide du nom de service suivant :

Si vous activez le DNS privé pour le point de terminaison d’interface, vous pouvez adresser des demandes d’API à Performance Insights en utilisant son nom DNS par défaut pour la région. Par exemple, pi.us-east-1.amazonaws.com.

Création d’une stratégie de point de terminaison de VPC pour l’API Performance Insights

Une politique de point de terminaison est une ressource IAM que vous pouvez attacher à votre point de terminaison d’interface. La politique de point de terminaison par défaut autorise un accès complet aux API Performance Insights via le point de terminaison d’interface. Pour contrôler l’accès autorisé à Performance Insights depuis votre VPC, attachez une politique de point de terminaison personnalisée au point de terminaison de l’interface.

Une politique de point de terminaison spécifie les informations suivantes :

  • Les principaux qui peuvent effectuer des actions (Comptes AWS, utilisateurs IAM et rôles IAM).

  • Les actions qui peuvent être effectuées.

  • La ressource sur laquelle les actions peuvent être effectuées.

Pour plus d’informations, consultez Contrôle de l’accès aux services à l’aide de politiques de point de terminaison dans le Guide AWS PrivateLink.

Exemple : politique de point de terminaison d’un VPC pour les actions Performance Insights

Voici un exemple de politique de point de terminaison personnalisée. Lorsque vous attachez cette politique à votre point de terminaison d’interface, elle accorde l’accès aux actions Performance Insights répertoriées pour tous les principaux sur toutes les ressources.

{
   "Statement":[
      {
         "Principal":"*",
         "Effect":"Allow",
         "Action":[
            "rds:CreatePerformanceAnalysisReport",
            "rds:DeletePerformanceAnalysisReport",
            "rds:GetPerformanceAnalysisReport"
         ],
         "Resource":"*"
      }
   ]
}
Exemple : stratégie de point de terminaison d’un VPC qui refuse tout accès à partir d’un compte AWS spécifié

La stratégie de point de terminaison d’un VPC suivante refuse au compte AWS 123456789012 tout accès aux ressources utilisant le point de terminaison. La politique autorise toutes les actions provenant d’autres comptes.

{
  "Statement": [
    {
      "Action": "*",
      "Effect": "Allow",
      "Resource": "*",
      "Principal": "*"
    },
    {
      "Action": "*",
      "Effect": "Deny",
      "Resource": "*",
      "Principal": { "AWS": [ "123456789012" ] }
     }
   ]
}

Adressage IP pour Performance Insights

Les adresses IP permettent aux ressources de votre VPC de communiquer entre elles et avec les ressources sur Internet. Performance Insights prend en charge les protocoles d’adressage IPv4 et IPv6. Par défaut, IP Performance Insights et Amazon VPC utilisent le protocole d’adressage IPv4. Vous ne pouvez pas désactiver ce comportement. Lorsque vous créez un VPC, veillez à spécifier un bloc CIDR IPv4 (une plage d’adresses IPv4 privées).

Vous pouvez également attribuer un bloc CIDR IPv6 à votre VPC et vos sous-réseaux, et attribuer des adresses IPv6 de ce bloc aux ressources RDS de votre sous-réseau. La prise en charge du protocole IPv6 augmente le nombre d’adresses IP prises en charge. En utilisant le protocole IPv6, vous vous assurez d’avoir suffisamment d’adresses disponibles pour la croissance future d’Internet. Les ressources RDS nouvelles et existantes peuvent utiliser des adresses IPv4 et IPv6 dans votre VPC. La configuration, la sécurisation et la traduction du trafic réseau entre les deux protocoles utilisés dans les différentes parties d’une application peuvent entraîner une surcharge opérationnelle. Vous pouvez standardiser le protocole IPv6 pour les ressources Amazon RDS afin de simplifier la configuration de votre réseau. Pour plus d’informations sur les points de terminaison de service et les quotas, consultez Points de terminaison de service et quotas Amazon Relational Database Service.

Pour plus d’informations sur l’adressage IP Aurora, consultez Adressage IP Aurora.