# 性能详情 API 和接口 VPC 端点（AWS PrivateLink）
<a name="pi-vpc-interface-endpoints"></a>

可以使用 AWS PrivateLink 在 VPC 和 Amazon RDS 性能详情之间创建私有连接。可以像在 VPC 中一样访问性能详情，而无需使用互联网网关、NAT 设备、VPN 连接或 Direct Connect 连接。VPC 中的实例不需要公有 IP 地址即可访问性能详情。

您可以通过创建由 AWS PrivateLink 提供支持的*接口端点*来建立此私有连接。我们将在您为接口端点启用的每个子网中创建一个端点网络接口。这些是请求者托管的网络接口，用作发往性能详情的流量的入口点。

有关更多信息，请参阅《AWS PrivateLink 指南》**中的[通过 AWS PrivateLink 访问 AWS 服务](https://docs.aws.amazon.com/vpc/latest/privatelink/privatelink-access-aws-services.html)。

## 性能详情的注意事项
<a name="vpc-endpoint-considerations"></a>

在为性能详情设置接口端点之前，请首先查看《AWS PrivateLink 指南》**中的 [Considerations](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#considerations-interface-endpoints)。

性能详情支持通过接口端点调用其所有 API 操作。

默认情况下，支持通过接口端点对性能详情进行完全访问。要控制通过接口端点流向性能详情的流量，请将安全组与端点网络接口关联。

## 可用性
<a name="rds-and-vpc-interface-endpoints-availability"></a>

性能详情 API 目前在支持性能详情的 AWS 区域中支持 VPC 端点。有关性能详情可用性的信息，请参阅[支持 Amazon RDS 中 Performance Insights 的区域和数据库引擎](Concepts.RDS_Fea_Regions_DB-eng.Feature.PerformanceInsights.md)。

## 为性能详情创建接口端点
<a name="vpc-endpoint-create"></a>

可以使用 Amazon VPC 控制台或 AWS Command Line Interface（AWS CLI）为性能详情创建接口端点。有关更多信息，请参阅《AWS PrivateLink 指南》**中的[创建接口端点](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#create-interface-endpoint-aws)。

使用以下服务名称为性能详情创建接口端点：

如果为接口端点启用私有 DNS，则可使用其默认区域 DNS 名称向性能详情发出 API 请求。例如 `pi.us-east-1.amazonaws.com`。

## 为性能详情 API 创建 VPC 端点策略
<a name="vpc-endpoint-policy"></a>

端点策略是一种 IAM 资源，您可以将其附加到接口端点。默认端点策略支持通过接口端点完全访问性能详情。要控制支持从 VPC 访问性能详情的权限，请将自定义端点策略附加到接口端点。

端点策略指定以下信息：
+ 可执行操作的主体（AWS 账户、IAM 用户和 IAM 角色）。
+ 可执行的操作。
+ 可对其执行操作的资源。

有关更多信息，请参阅《AWS PrivateLink 指南》**中的[使用端点策略控制对服务的访问权限](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html)。

**示例：性能详情操作的 VPC 端点策略**  
以下是自定义端点策略的示例。将此策略附加到接口端点时，该策略会向所有主体授予对所有资源执行所列出的性能详情操作的访问权限。

```
{
   "Statement":[
      {
         "Principal":"*",
         "Effect":"Allow",
         "Action":[
            "rds:CreatePerformanceAnalysisReport",
            "rds:DeletePerformanceAnalysisReport",
            "rds:GetPerformanceAnalysisReport"
         ],
         "Resource":"*"
      }
   ]
}
```

**示例：拒绝来自指定 AWS 账户的所有访问的 VPC 端点策略**  
以下 VPC 端点策略会拒绝 AWS 账户 `123456789012` 所有使用端点访问资源的权限。此策略允许来自其他账户的所有操作。

```
{
  "Statement": [
    {
      "Action": "*",
      "Effect": "Allow",
      "Resource": "*",
      "Principal": "*"
    },
    {
      "Action": "*",
      "Effect": "Deny",
      "Resource": "*",
      "Principal": { "AWS": [ "123456789012" ] }
     }
   ]
}
```

## 性能详情的 IP 寻址
<a name="pi-ip-addressing"></a>

IP 地址使 VPC 中的资源能够相互通信以及与 Internet 上的资源进行通信。性能详情同时支持 IPv4 和 IPv6 寻址协议。默认情况下，性能详情和 Amazon VPC 使用 IPv4 寻址协议。您无法关闭这种行为。创建 VPC 时，请确保指定 IPv4 CIDR 块 (一系列私有 IPv4 地址)。

可以选择将 IPv6 CIDR 块分配给 VPC 和子网，并将来自该块的 IPv6 地址分配给子网中的 RDS 资源。对 IPv6 协议的支持扩展了支持的 IP 地址数量。通过使用 IPv6 协议，您可以确保有足够的可用地址来应对 Internet 的未来发展。新的和现有 RDS 资源可以在 VPC 内使用 IPv4 和 IPv6 地址。在应用程序不同部分使用的两个协议之间配置、保护和转换网络流量可能会产生运营开销。您可以对 Amazon RDS 资源的 IPv6 协议进行标准化，以简化网络配置。有关服务端点和配额的更多信息，请参阅 [Amazon Relational Database Service endpoints and quotas](https://docs.aws.amazon.com/general/latest/gr/rds-service.html)。

有关 Amazon RDS IP 寻址的更多信息，请参阅 [Amazon RDS IP 寻址](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_VPC.WorkingWithRDSInstanceinaVPC.html#USER_VPC.IP_addressing)。