要获得与亚马逊 Timestream 类似的功能 LiveAnalytics,可以考虑适用于 InfluxDB 的亚马逊 Timestream。适用于 InfluxDB 的 Amazon Timestream 提供简化的数据摄取和个位数毫秒级的查询响应时间,以实现实时分析。点击[此处](https://docs.aws.amazon.com//timestream/latest/developerguide/timestream-for-influxdb.html)了解更多信息。
本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 通过 VPC 端点连接到适用于 InfluxDB 的 Timestream
您可以通过虚拟私有云(VPC)中的一个私有接口端点直接连接到适用于 InfluxDB 的 Timestream。当你使用接口 VPC 终端节点时,你的 VPC 和 InfluxDB 的 Timestream 之间的通信完全在网络内进行。 AWS
适用于 InfluxDB 的 Timestream 支持由 [AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/) 提供支持的 Amazon Virtual Private Cloud(Amazon VPC)端点。每个 VPC 终端节点都由一个或多个[弹性网络接口](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html) (ENIs) 表示,其私有 IP 地址位于您的 VPC 子网中。
接口 VPC 终端节点将您的 VPC 直接连接到 InfluxDB 的 Timestream,无需互联网网关、NAT 设备、VPN 连接或连接。 AWS Direct Connect VPC 中的实例不需要公有 IP 地址便可与适用于 InfluxDB 的 Timestream 进行通信。
**Regions**
InfluxDB 的 Timestream 支持 VPC 端点和 VPC 终端节点策略,所有这些策略都支持 InfluxD AWS 区域 B 的 Timestream。
**Topics**
+ [适用于 InfluxDB 的 Timestream VPC 端点的注意事项](#vpce-considerations)
+ [为适用于 InfluxDB 的 Timestream 创建 VPC 端点](#vpce-create-endpoint)
+ [连接到适用于 InfluxDB 的 Timestream VPC 端点](#vpce-connect)
+ [控制对 VPC 端点的访问](#vpce-policy)
+ [在策略语句中使用 VPC 端点](#vpce-policy-condition)
+ [记录您的 VPC 端点](#vpce-logging)
## 适用于 InfluxDB 的 Timestream VPC 端点的注意事项
请先查看《AWS PrivateLink 指南》**中的[接口端点属性和限制](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#vpce-interface-limitations)主题,然后再为适用于 InfluxDB 的 Timestream 设置接口 VPC 端点。
适用于 InfluxDB 的 Timestream 对 VPC 端点的支持包括以下内容。
+ 您可以使用 VPC 端点从 VPC 调用所有[适用于 InfluxDB 的 Timestream API 操作](https://docs.aws.amazon.com/ts-influxdb/latest/ts-influxdb-api/API_Operations.html)。
+ 您可以使用 AWS CloudTrail 日志来审核您通过 VPC 终端节点对 InfluxDB 资源的 Timestream 使用情况。有关更多信息,请参阅 [记录您的 VPC 端点](#vpce-logging)。
## 为适用于 InfluxDB 的 Timestream 创建 VPC 端点
您可以使用 Amazon VPC 控制台或 Amazon VPC API 为适用于 InfluxDB 的 Timestream 创建 VPC 端点。有关更多信息,请参阅《AWS PrivateLink 指南》**中的[创建接口端点](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#create-interface-endpoint)。
+ 要为适用于 InfluxDB 的 Timestream 创建 VPC 端点,请使用以下服务名称:
```
com.amazonaws.region.timestream-influxdb
```
例如,在美国西部(俄勒冈)区域 (`us-west-2`),服务名称为:
```
com.amazonaws.us-west-2.timestream-influxdb
```
为了更轻松地使用 VPC 端点,您可以为 VPC 端点启用[私有 DNS 名称](https://docs.aws.amazon.com/vpc/latest/privatelink/verify-domains.html)。如果选择**启用 DNS 名称**选项,标准的适用于 InfluxDB 的 Timestream DNS 主机名将解析为您的 VPC 端点。例如,`https://timestream-influxdb.us-west-2.amazonaws.com` 将解析为连接到服务名称 `com.amazonaws.us-west-2.timestream-influxdb` 的 VPC 端点。
此选项可让您更轻松地使用 VPC 端点。默认情况下, AWS SDKs 和 AWS CLI 使用 InfluxDB DNS 主机名的标准时间流,因此您无需在应用程序和命令中指定 VPC 终端节点 URL。
有关更多信息,请参阅 *AWS PrivateLink 指南*中的[通过接口端点访问服务](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#access-service-though-endpoint)。
## 连接到适用于 InfluxDB 的 Timestream VPC 端点
你可以使用 SD AWS K 或,通过 VPC 终端节点连接到 InfluxDB 的 Timestream。 AWS CLI AWS Tools for PowerShell要指定 VPC 端点,请使用其 DNS 名称。
如果在创建 VPC 端点时启用了私有主机名,则无需在 CLI 命令或应用程序配置中指定 VPC 端点 URL。标准适用于 InfluxDB 的 Timestream DNS 主机名将解析为您的 VPC 端点。 AWS CLI 和默认 SDKs 使用此主机名,因此您可以开始使用 VPC 终端节点连接到 InfluxDB 区域终端节点的 Timestream,而无需在脚本和应用程序中进行任何更改。
要使用私有主机名,您的 VPC 的 `enableDnsHostnames` 和 `enableDnsSupport` 属性必须设置为 `true`。要设置这些属性,请使用[ModifyVpcAttribute](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ModifyVpcAttribute.html)操作。有关详细信息,请参阅《Amazon VPC 用户指南》中的[查看和更新 VPC 的 DNS 属性](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc-dns-updating)。**
## 控制对 VPC 端点的访问
要控制对适用于 InfluxDB 的 Timestream VPC 端点的访问,请附加 *VPC 端点策略*到您的 VPC 端点中。端点策略确定主体是否可以使用 VPC 端点对适用于 InfluxDB 的 Timestream 资源调用适用于 InfluxDB 的 Timestream 操作。
您可以在创建终端节点时创建 VPC 端点策略,并且可以随时更改 VPC 端点策略。使用 VPC 管理控制台或[CreateVpcEndpoint](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CreateVpcEndpoint.html)或[ModifyVpcEndpoint](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ModifyVpcEndpoint.html)操作。您也可以[使用 AWS CloudFormation 模板](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-ec2-vpcendpoint.html)创建和更改 VPC 终端节点策略。有关使用 VPC 管理控制台的帮助,请参阅 *AWS PrivateLink 指南*中的[创建接口终端节点](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#create-interface-endpoint)和[修改接口终端节点](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#modify-interface-endpoint)。
**注意**
适用于 InfluxDB 的 Timestream 支持从 2020 年 7 月开始的 VPC 端点策略。在该日期之前创建的适用于 InfluxDB 的 Timestream VPC 端点具有[默认的 VPC 端点策略](#vpce-default-policy),但您可以随时进行更改。
**Topics**
+ [关于 VPC 端点策略](#vpce-policy-about)
+ [默认的 VPC 端点策略](#vpce-default-policy)
+ [创建 VPC 端点策略](#vpce-policy-create)
+ [查看 VPC 端点策略](#vpce-policy-get)
### 关于 VPC 端点策略
对于使用 VPC 端点才能成功的适用于 InfluxDB 的 Timestream 请求,主体需要来自以下两个来源的权限:
+ [IAM 策略](security-iam-for-influxdb.md)必须授予主体对资源(调用操作的权限。
+ VPC 端点策略必须授予委托人使用终端节点发出请求的权限。
### 默认的 VPC 端点策略
每个 VPC 端点都有 VPC 端点策略,但您无需指定策略。如果未指定策略,则默认的终端节点策略允许所有委托人对终端节点上的所有资源执行所有操作。
然而,对于适用于 InfluxDB 的 Timestream 资源,主体还必须通过 [IAM 策略](security-iam-for-influxdb.md)获得调用该操作的权限。因此在实际操作中,默认策略规定:如果主体拥有对资源调用操作的权限,则也可通过端点调用该操作。
```
{
"Statement": [
{
"Action": "*",
"Effect": "Allow",
"Principal": "*",
"Resource": "*"
}
]
}
```
要允许主体仅将 VPC 端点用于其允许操作的子集,[请创建或更新改 VPC 端点策略](#vpce-policy-create)。
### 创建 VPC 端点策略
VPC 端点策略确定委托人是否有权使用 VPC 端点对资源执行操作。对于适用于 InfluxDB 的 Timestream 资源,主体还必须有权从 [IAM 策略](security-iam-for-influxdb.md)中执行操作。
每个 VPC 端点策略语句都需要以下元素:
+ 可执行操作的委托人
+ 可执行的操作
+ 可对其执行操作的资源
策略语句不指定 VPC 端点。它适用于策略所附加到的任何 VPC 端点。有关更多信息,请参阅《Amazon VPC User Guide》**中的 [Controlling access to services with VPC endpoints](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html)。
AWS CloudTrail 记录使用 VPC 终端节点的所有操作。
### 查看 VPC 端点策略
要查看终端节点的 VPC 终端节点策略,请使用 [VPC 管理控制台](https://console.aws.amazon.com/vpc/)或[DescribeVpcEndpoints](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeVpcEndpoints.html)操作。
以下 AWS CLI 命令获取具有指定 VPC 终端节点 ID 的终端节点的策略。
在使用此命令之前,请将示例终端节点 ID 替换为您账户中的有效终端节点 ID。
```
$ aws ec2 describe-vpc-endpoints \
--query 'VpcEndpoints[?VpcEndpointId==`vpc-endpoint-id`].[PolicyDocument]'
--output text
```
## 在策略语句中使用 VPC 端点
您可以在请求来自于 VPC 或使用 VPC 端点时控制对适用于 InfluxDB 的 Timestream 资源和操作的访问。为此,请在 [IAM 策略](security-iam-for-influxdb.md)中使用以下[全局条件键](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#AvailableKeys)之一。
+ 使用 `aws:sourceVpce` 条件键基于 VPC 端点授予或限制访问。
+ 使用 `aws:sourceVpc` 条件键基于托管私有终端节点的 VPC 授予或限制访问。
**注意**
根据您的 VPC 端点创建密钥策略和 IAM 策略时要小心。如果政策声明要求请求来自特定的 VPC 或 VPC 终端节点,则代表您使用 Timestream for InfluxDB 资源的集成 AWS 服务发出的请求可能会失败。
此外,当请求来自 [Amazon VPC 端点](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints.html)时,`aws:sourceIP` 条件键也不起作用。要限制对 VPC 端点的请求,请使用 `aws:sourceVpce` 或 `aws:sourceVpc` 条件键。有关更多信息,请参阅《AWS PrivateLink 指南》中的 [VPC 端点和 VPC 端点服务的身份和访问管理](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-iam.html)。**
您可以使用这些全局条件键来控制对此类操作的访问权限 [CreateDbInstance](https://docs.aws.amazon.com//ts-influxdb/latest/ts-influxdb-api/API_CreateDbInstance.html),这些操作不依赖于任何特定资源。
## 记录您的 VPC 端点
AWS CloudTrail 记录使用 VPC 终端节点的所有操作。当对适用于 InfluxDB 的 Timestream 的请求使用 VPC 端点时,VPC 端点 ID 出现在记录该请求的 [AWS CloudTrail 日志](logging-using-cloudtrail.md)条目中。您可以使用端点 ID 来审核适用于 InfluxDB 的 Timestream VPC 端点的使用情况。
但是,您的 CloudTrail 日志不包括其他账户中的委托人请求的操作,也不包括Timestream对InfluxDB资源和其他账户中的别名进行InfluxDB操作的请求。此外,为了保护您的 VPC,被 [VPC 端点策略](#vpce-policy)拒绝但却以其他方式允许的请求不记录在 [AWS CloudTrail](logging-using-cloudtrail.md) 中。