Performance Insights API 和界面 VPC 端點 (AWS PrivateLink) - Amazon Relational Database Service
考量事項可用性建立介面端點建立 VPC 端點政策IP 定址

Performance Insights API 和界面 VPC 端點 (AWS PrivateLink)

您可以使用 AWS PrivateLink 在 VPC 和 Amazon RDS Performance Insights 之間建立私有連線。您可以如在 VPC 中一樣存取 Performance Insights,無需使用網際網路閘道、NAT 裝置、VPN 連線或 AWS Direct Connect 連線。VPC 中的執行個體無需公有 IP 位址,即可存取 Performance Insights。

您可以建立由 AWS PrivateLink 提供支援的介面端點來建立此私有連線。我們會在您為介面端點啟用的每個子網中建立端點網路介面。這些是請求者管理的網路界面,可作為目的地為 Performance Insights 之流量的進入點。

如需詳細資訊,請參閱「AWS PrivateLink 指南」中的透過 AWS PrivateLink 存取 AWS 服務

Performance Insights的考量事項

在您為 Performance Insights 設定界面端點之前,請檢閱《AWS PrivateLink 指南》中的考量事項

Performance Insights支援透過界面端點呼叫其所有 API 動作。

根據預設,允許透過界面端點完整存取 Performance Insights。若要控制透過界面端點傳輸至 Performance Insights 的流量,請將安全群組與端點網路界面建立關聯。

可用性

Performance Insights API 目前支援 AWS 區域 中的 VPC 端點,這些區域都支援 Performance Insights。如需 Performance Insights 可用性的詳細資訊,請參閱 Amazon RDS 中的 Performance Insights 的支援區域和資料庫引擎

建立 Performance Insights 的界面端點

您可以使用 Amazon VPC 主控台或 AWS Command Line Interface (AWS CLI),建立 Performance Insights 的界面端點。如需詳細資訊,請參閱《AWS PrivateLink 指南》中的建立介面端點

使用下列服務名稱為 Performance Insights 建立界面端點:

如果您為該介面端點啟用私有 DNS,您可以使用其區域的預設 DNS 名稱向 Performance Insights 發出 API 要求。例如 pi.us-east-1.amazonaws.com

為 Performance Insights API 建立 VPC 端點政策

端點政策為 IAM 資源,您可將其連接至介面端點。預設端點政策可允許透過界面端點完整存取 Performance Insights。若要控制 VPC 對 Performance Insights 的存取權限,請將自訂端點政策連接至界面端點。

端點政策會指定以下資訊:

  • 可執行動作 (AWS 帳戶、IAM 使用者和 IAM 角色) 的主體。

  • 可執行的動作。

  • 可供執行動作的資源。

如需詳細資訊,請參閱「AWS PrivateLink 指南」中的使用端點政策控制對服務的存取

範例:Performance Insights 動作的 VPC 端點政策

以下是自訂端點政策的範例。將此政策附加至界面端點後,此政策會針對所有資源上的所有主體,授予列出的 Performance Insights 動作的存取權限。

{
   "Statement":[
      {
         "Principal":"*",
         "Effect":"Allow",
         "Action":[
            "rds:CreatePerformanceAnalysisReport",
            "rds:DeletePerformanceAnalysisReport",
            "rds:GetPerformanceAnalysisReport"
         ],
         "Resource":"*"
      }
   ]
}
範例:拒絕所有來自指定 AWS 帳戶之存取的 VPC 端點政策

下列 VPC 端點政策拒絕 AWS 帳戶 123456789012 對使用該端點之資源的所有存取。此政策允許來自其他帳戶的所有動作。

{
  "Statement": [
    {
      "Action": "*",
      "Effect": "Allow",
      "Resource": "*",
      "Principal": "*"
    },
    {
      "Action": "*",
      "Effect": "Deny",
      "Resource": "*",
      "Principal": { "AWS": [ "123456789012" ] }
     }
   ]
}

Performance Insights 的 IP 定址

IP 地址可讓您 VPC 中的資源彼此互相通訊,也能和網際網路上的資源通訊。Performance Insights 同時支援 IPv4 和 IPv6 定址通訊協定。預設情況下,Performance Insights 和 Amazon VPC 都使用 IPv4 定址協議。您無法關閉此行為。當您建立 VPC 時,請務必指定 IPv4 CIDR 區塊 (私有 IPv4 地址的範圍)。

您可以選擇將 IPv6 CIDR 區塊指派給 VPC 和子網路,並將 IPv6 位址從該區塊指派給子網路中的 RDS 資源。對 IPv6 通訊協定的支援擴展受支援的 IP 地址的數量。使用 IPv6 通訊協定,您可以確保擁有足夠的可用地址,可應對網際網路的未來發展。新的和現有的 RDS 資源可於您的 VPC 中使用 IPv4 和 IPv6 地址。在應用程式的不同部分中使用的兩個通訊協定之間進行設定、保護和轉譯網路流量可能會造成操作額外負荷。您可在 IPv6 通訊協定上對 Amazon RDS 資源進行標準化,以簡化您的網路組態。如需服務端點和配額的詳細資訊,請參閱 Amazon Relational Database Service 端點和配額

如需 Amazon RDS AuroraIP 定址的詳細資訊,請參閱 Amazon RDS IP 定址