為 Amazon RDS Data API 建立 Amazon VPC 端點 (AWS PrivateLink) - Amazon Aurora

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

為 Amazon RDS Data API 建立 Amazon VPC 端點 (AWS PrivateLink)

Amazon VPC 可讓您在虛擬私有雲端 (VPC) 中啟動 AWS 資源,例如 Aurora 資料庫叢集和應用程式。 AWS PrivateLink 在 Amazon 網路上提供具有高安全性VPCs AWS 和服務之間的私有連線。您可以使用 AWS PrivateLink建立 Amazon VPC 端點,讓您根據 Amazon VPC 連線到不同帳戶和 VPCs 的服務。如需 AWS PrivateLink的相關資訊,請參閱《Amazon Virtual Private Cloud 使用者指南》中的 VPC 端點服務 (AWS PrivateLink)

您可以使用 Amazon VPC 端點呼叫 RDS Data API (資料 API)。使用 Amazon VPC 端點可在 Amazon VPC 中的應用程式與 AWS 網路中的資料 API 之間保留流量,而無需使用公有 IP 地址。Amazon VPC 端點能協助您符合與限制公有網際網路連線相關的合規和法律需求。例如,如果您使用 Amazon VPC 端點,您可以在 Amazon EC2 執行個體上執行的應用程式與包含它們VPCs 中的資料 API 之間保留流量。

建立 Amazon VPC 端點之後就能開始使用,而不需要在應用程式中進行任何程式碼或組態變更。

為資料 API 建立 Amazon VPC 端點

  1. 登入 AWS Management Console ,並在 https://console.aws.amazon.com/vpc/:// 開啟 Amazon VPC 主控台。

  2. 選擇 Endpoints (端點),然後選擇 Create Endpoint (建立端點)

  3. Create Endpoint (建立端點) 頁面上,針對 Service category (服務類別) 選擇 AWS services ( 服務)。針對 Service Name (服務名稱),選擇 rds-data

    為資料 API 建立 Amazon VPC 端點

  4. 針對 VPC,選擇要在其中建立端點的 VPC。

    選擇包含進行資料 API 呼叫之應用程式的 VPC。

  5. 針對子網路,選擇執行您應用程式之 AWS 服務所使用的每個可用區域 (AZ) 的子網路。

    為 Amazon VPC 端點選擇子網路

    若要建立 Amazon VPC 端點,請指定可存取端點的私有 IP 地址範圍。若要執行此作業,請選擇每個可用區域的子網路。這麼做會將 VPC 端點限制為每個可用區域專屬的私有 IP 地址範圍,並且也會在每個可用區域中建立 Amazon VPC 端點。

  6. 針對 Enable DNS name (啟用 DNS 名稱),選取 Enable for this endpoint (為此端點啟用)

    啟用 Amazon VPC 端點的 DNS 名稱

    私有 DNS 會將標準資料 API DNS 主機名稱 (https://rds-data.region.amazonaws.com) 解析為與您 Amazon VPC 端點專用 DNS 主機名稱相關的私有 IP 地址。因此,您可以使用 AWS CLI AWS SDKs存取資料 API VPC 端點,而不需要進行任何程式碼或組態變更來更新資料 API 的端點 URL。

  7. 針對 Security group (安全群組),選擇要與 Amazon VPC 端點建立關聯的安全群組。

    選擇允許存取執行您應用程式之 AWS 服務的安全群組。舉例來說,若有 Amazon EC2 執行個體在執行您的應用程式,請選擇要允許存取 Amazon EC2 執行個體的安全群組。安全群組能讓您控制 VPC 中,資源流向 Amazon VPC 端點的流量。

  8. 針對 Policy (政策),請選擇 Full Access (完整存取) 讓 Amazon VPC 中的所有人都能透過此端點存取資料 API。或者選擇 Custom (自訂),來指定限制存取的政策。

    如果您選擇 Custom (自訂),請在政策建立工具中輸入政策。

  9. 選擇 Create endpoint (建立端點)

建立端點之後,請選擇 中的連結 AWS Management Console 以檢視端點詳細資訊。

Amazon VPC 端點詳細資訊的連結

端點 Details (詳細資訊) 標籤會顯示建立 Amazon VPC 端點時產生的 DNS 主機名稱。

Amazon VPC 端點詳細資訊的連結

您可以使用標準端點 (rds-data.region.amazonaws.com) 或其中一個 VPC 專用端點,來在 Amazon VPC 中呼叫資料 API。標準資料 API 端點會自動路由至 Amazon VPC 端點。因為私有 DNS 主機名稱在 Amazon VPC 端點建立時已啟用,所以會發生此路由。

當您在資料 API 呼叫中使用 Amazon VPC 端點時,應用程式和資料 API 之間的所有流量都會保留在包含它們的 Amazon VPCs 中。您可以使用 Amazon VPC 端點進行任何類型的資料 API 呼叫。如需呼叫資料 API 的資訊,請參閱 呼叫 Amazon RDS Data API