建立 Amazon RDS 資料 API 的 Amazon VPC 端點 (AWS PrivateLink) - Amazon Aurora

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

建立 Amazon RDS 資料 API 的 Amazon VPC 端點 (AWS PrivateLink)

Amazon VPC 可讓您對 Virtual Private Cloud (VPC) 啟動 AWS 資源,例如 Aurora 資料庫叢集與應用程式。AWS PrivateLink 能在 Amazon 網路上以高度安全的方式在 VPC 與 AWS 服務之間提供私有連線。您可以使用 AWS PrivateLink 建立 Amazon VPC 端點,這能讓您根據 Amazon VPC 連線至不同帳戶與 VPC 的服務。如需 AWS PrivateLink 的詳細資訊,請參閱 Amazon Virtual Private Cloud 使用者指南中的 VPC 端點服務 (AWS PrivateLink)

您可以使用 Amazon VPC 端點呼叫 RDS 資料 API (資料 API)。使用 Amazon VPC 端點可使 Amazon VPC 中的應用程式與資料 API 中的流量保持在 AWS 網路,而不使用公有 IP 位址。Amazon VPC 端點能協助您符合與限制公有網際網路連線相關的合規和法律需求。舉例來說,若使用 Amazon VPC 端點,就能讓在 Amazon EC2 執行個體上執行之應用程式和資料 API 的流量只在包含兩者的 VPC 中傳送。

建立 Amazon VPC 端點之後就能開始使用,而不需要在應用程式中進行任何程式碼或組態變更。

建立資料 API 的 Amazon VPC 端點

  1. 登入 AWS Management Console,並在 https://console.aws.amazon.com/vpc/ 開啟 Amazon VPC 主控台。

  2. 選擇 Endpoints (端點),然後選擇 Create Endpoint (建立端點)

  3. Create Endpoint (建立端點) 頁面上,針對 Service category (服務類別) 選擇 AWS services ( 服務)。針對 Service Name (服務名稱),選擇 rds-data

    為資料 API 建立 Amazon VPC 端點

  4. 針對 VPC,選擇要在其中建立端點的 VPC。

    選擇包含進行資料 API 呼叫之應用程式的 VPC。

  5. 針對 Subnets (子網路),為執行您應用程式之 AWS 服務所用的每個可用區域 (AZ) 選擇子網路。

    為 Amazon VPC 端點選擇子網路

    若要建立 Amazon VPC 端點,請指定可存取端點的私有 IP 地址範圍。若要執行此作業,請選擇每個可用區域的子網路。這麼做會將 VPC 端點限制為每個可用區域專屬的私有 IP 地址範圍,並且也會在每個可用區域中建立 Amazon VPC 端點。

  6. 針對 Enable DNS name (啟用 DNS 名稱),選取 Enable for this endpoint (為此端點啟用)

    啟用 Amazon VPC 端點的 DNS 名稱

    私有 DNS 會將標準資料 API DNS 主機名稱 (https://rds-data.region.amazonaws.com) 解析為與您 Amazon VPC 端點專用 DNS 主機名稱相關的私有 IP 地址。因此,您可以使用 AWS CLI 或 AWS 開發套件存取資料 API VPC 端點,而不需要進行任何程式碼或組態變更來更新資料 API 端點 URL。

  7. 針對 Security group (安全群組),選擇要與 Amazon VPC 端點建立關聯的安全群組。

    選擇要允許存取執行您應用程式之 AWS 服務的安全群組。舉例來說,若有 Amazon EC2 執行個體在執行您的應用程式,請選擇要允許存取 Amazon EC2 執行個體的安全群組。安全群組能讓您控制 VPC 中,資源流向 Amazon VPC 端點的流量。

  8. 針對 Policy (政策),請選擇 Full Access (完整存取) 讓 Amazon VPC 中的所有人都能透過此端點存取資料 API。或者選擇 Custom (自訂),來指定限制存取的政策。

    如果您選擇 Custom (自訂),請在政策建立工具中輸入政策。

  9. 選擇 Create endpoint (建立端點)

建立端點後,請在 AWS Management Console中選擇連結以檢視端點詳細資訊。

Amazon VPC 端點詳細資訊的連結

端點 Details (詳細資訊) 標籤會顯示建立 Amazon VPC 端點時產生的 DNS 主機名稱。

Amazon VPC 端點詳細資訊的連結

您可以使用標準端點 (rds-data.region.amazonaws.com) 或其中一個 VPC 專用端點,來在 Amazon VPC 中呼叫資料 API。標準資料 API 端點會自動路由至 Amazon VPC 端點。因為私有 DNS 主機名稱在 Amazon VPC 端點建立時已啟用,所以會發生此路由。

當您在資料 API 呼叫中使用 Amazon VPC 端點時,應用程式與資料 API 間的所有流量都會維持在包含兩者的 Amazon VPC 中。您可以使用 Amazon VPC 端點進行任何類型的資料 API 呼叫。如需呼叫資料 API 的詳細資訊,請參閱呼叫 Amazon RDS 資料 API