要获得与亚马逊 Timestream 类似的功能 LiveAnalytics，可以考虑适用于 InfluxDB 的亚马逊 Timestream。适用于 InfluxDB 的 Amazon Timestream 提供简化的数据摄取和个位数毫秒级的查询响应时间，以实现实时分析。点击此处了解更多信息。

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

通过 VPC 端点连接到适用于 InfluxDB 的 Timestream

您可以通过虚拟私有云（VPC）中的一个私有接口端点直接连接到适用于 InfluxDB 的 Timestream。当你使用接口 VPC 终端节点时，你的 VPC 和 InfluxDB 的 Timestream 之间的通信完全在网络内进行。 AWS

适用于 InfluxDB 的 Timestream 支持由 AWS PrivateLink 提供支持的 Amazon Virtual Private Cloud（Amazon VPC）端点。每个 VPC 终端节点都由一个或多个弹性网络接口 (ENIs) 表示，其私有 IP 地址位于您的 VPC 子网中。

接口 VPC 终端节点将您的 VPC 直接连接到 InfluxDB 的 Timestream，无需互联网网关、NAT 设备、VPN 连接或连接。 AWS Direct Connect VPC 中的实例不需要公有 IP 地址便可与适用于 InfluxDB 的 Timestream 进行通信。

Regions

InfluxDB 的 Timestream 支持 VPC 端点和 VPC 终端节点策略，所有这些策略都支持 InfluxD AWS 区域 B 的 Timestream。

适用于 InfluxDB 的 Timestream VPC 端点的注意事项

请先查看《AWS PrivateLink 指南》中的接口端点属性和限制主题，然后再为适用于 InfluxDB 的 Timestream 设置接口 VPC 端点。

适用于 InfluxDB 的 Timestream 对 VPC 端点的支持包括以下内容。

为适用于 InfluxDB 的 Timestream 创建 VPC 端点

您可以使用 Amazon VPC 控制台或 Amazon VPC API 为适用于 InfluxDB 的 Timestream 创建 VPC 端点。有关更多信息，请参阅《AWS PrivateLink 指南》中的创建接口端点。

为了更轻松地使用 VPC 终端节点，您可以为 VPC 终端节点启用私有 DNS 名称。如果选择启用 DNS 名称选项，标准的适用于 InfluxDB 的 Timestream DNS 主机名将解析为您的 VPC 端点。例如，https://timestream-influxdb.us-west-2.amazonaws.com 将解析为连接到服务名称 com.amazonaws.us-west-2.timestream-influxdb 的 VPC 端点。

此选项可让您更轻松地使用 VPC 终端节点。默认情况下， AWS SDKs 和 AWS CLI 使用 InfluxDB DNS 主机名的标准时间流，因此您无需在应用程序和命令中指定 VPC 终端节点 URL。

有关更多信息，请参阅 AWS PrivateLink 指南中的通过接口端点访问服务。

连接到适用于 InfluxDB 的 Timestream VPC 端点

你可以使用 SD AWS K 或，通过 VPC 终端节点连接到 InfluxDB 的 Timestream。 AWS CLI AWS Tools for PowerShell要指定 VPC 终端节点，请使用其 DNS 名称。

如果在创建 VPC 终端节点时启用了私有主机名，则无需在 CLI 命令或应用程序配置中指定 VPC 终端节点 URL。标准适用于 InfluxDB 的 Timestream DNS 主机名将解析为您的 VPC 端点。 AWS CLI 和默认 SDKs 使用此主机名，因此您可以开始使用 VPC 终端节点连接到 InfluxDB 区域终端节点的 Timestream，而无需在脚本和应用程序中进行任何更改。

要使用私有主机名，您的 VPC 的 enableDnsHostnames 和 enableDnsSupport 属性必须设置为 true。要设置这些属性，请使用ModifyVpcAttribute操作。有关详细信息，请参阅《Amazon VPC 用户指南》中的查看和更新 VPC 的 DNS 属性。

控制对 VPC 终端节点的访问

要控制对适用于 InfluxDB 的 Timestream VPC 端点的访问，请附加 VPC 端点策略到您的 VPC 端点中。端点策略确定主体是否可以使用 VPC 端点对适用于 InfluxDB 的 Timestream 资源调用适用于 InfluxDB 的 Timestream 操作。

您可以在创建终端节点时创建 VPC 终端节点策略，并且可以随时更改 VPC 终端节点策略。使用 VPC 管理控制台或CreateVpcEndpoint或ModifyVpcEndpoint操作。您也可以使用 AWS CloudFormation 模板创建和更改 VPC 终端节点策略。有关使用 VPC 管理控制台的帮助，请参阅 AWS PrivateLink 指南中的创建接口终端节点和修改接口终端节点。

关于 VPC 终端节点策略

对于使用 VPC 端点才能成功的适用于 InfluxDB 的 Timestream 请求，主体需要来自以下两个来源的权限：

默认的 VPC 终端节点策略

每个 VPC 终端节点都有 VPC 终端节点策略，但您无需指定策略。如果未指定策略，则默认的终端节点策略允许所有委托人对终端节点上的所有资源执行所有操作。

然而，对于适用于 InfluxDB 的 Timestream 资源，主体还必须通过 IAM 策略获得调用该操作的权限。因此在实际操作中，默认策略规定：如果主体拥有对资源调用操作的权限，则也可通过端点调用该操作。

{
  "Statement": [
    {
      "Action": "*", 
      "Effect": "Allow", 
      "Principal": "*", 
      "Resource": "*"
    }
  ]
}

要允许主体仅将 VPC 终端节点用于其允许操作的子集，请创建或更新改 VPC 终端节点策略。

创建 VPC 端点策略

VPC 终端节点策略确定委托人是否有权使用 VPC 终端节点对资源执行操作。对于适用于 InfluxDB 的 Timestream 资源，主体还必须有权从 IAM 策略中执行操作。

每个 VPC 终端节点策略语句都需要以下元素：

策略语句不指定 VPC 终端节点。它适用于策略所附加到的任何 VPC 终端节点。有关更多信息，请参阅《Amazon VPC User Guide》中的 Controlling access to services with VPC endpoints。

AWS CloudTrail 记录使用 VPC 终端节点的所有操作。

查看 VPC 终端节点策略

要查看终端节点的 VPC 终端节点策略，请使用 VPC 管理控制台或DescribeVpcEndpoints操作。

以下 AWS CLI 命令获取具有指定 VPC 终端节点 ID 的终端节点的策略。

在使用此命令之前，请将示例终端节点 ID 替换为您账户中的有效终端节点 ID。

$ aws ec2 describe-vpc-endpoints \

--query 'VpcEndpoints[?VpcEndpointId==`vpc-endpoint-id`].[PolicyDocument]'

--output text

在策略语句中使用 VPC 终端节点

您可以在请求来自于 VPC 或使用 VPC 端点时控制对适用于 InfluxDB 的 Timestream 资源和操作的访问。为此，请在 IAM 策略中使用以下全局条件键之一。

您可以使用这些全局条件键来控制对此类操作的访问权限 CreateDbInstance，这些操作不依赖于任何特定资源。

记录您的 VPC 终端节点

AWS CloudTrail 记录使用 VPC 终端节点的所有操作。当对适用于 InfluxDB 的 Timestream 的请求使用 VPC 端点时，VPC 端点 ID 出现在记录该请求的 AWS CloudTrail 日志条目中。您可以使用端点 ID 来审核适用于 InfluxDB 的 Timestream VPC 端点的使用情况。

但是，您的 CloudTrail 日志不包括其他账户中的委托人请求的操作，也不包括Timestream对InfluxDB资源和其他账户中的别名进行InfluxDB操作的请求。此外，为了保护您的 VPC，被 VPC 终端节点策略拒绝但却以其他方式允许的请求不记录在 AWS CloudTrail 中。