如需與 Amazon Timestream for LiveAnalytics 類似的功能,請考慮使用 Amazon Timestream for InfluxDB。它提供簡化的資料擷取和單一位數毫秒查詢回應時間,以進行即時分析。[在這裡](https://docs.aws.amazon.com//timestream/latest/developerguide/timestream-for-influxdb.html)進一步了解。
本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 透過 VPC 端點連線至 Timestream for InfluxDB
您可以透過虛擬私有雲端 (VPC) 中的私有介面端點,直接連線至 Timestream for InfluxDB。當您使用介面 VPC 端點時,VPC 與 Timestream for InfluxDB 之間的通訊會完全在 AWS 網路中執行。
Timestream for InfluxDB 支援採用 技術的 Amazon Virtual Private Cloud (Amazon VPC) 端點[AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/)。每個 VPC 端點皆會由一個或多個具私有 IP 地址[彈性網路界面](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html) (ENI) 來表示,而該界面位於 VPC 子網路中。
介面 VPC 端點會將您的 VPC 直接連線至 Timestream for InfluxDB,無需網際網路閘道、NAT 裝置、VPN 連線或 AWS Direct Connect 連線。VPC 中的執行個體不需要公有 IP 地址,即可與 Timestream for InfluxDB 通訊。
**大區 (Regions)**
InfluxDB 的 Timestream 在支援 InfluxDB 的 Timestream 的所有 AWS 區域 中支援 VPC 端點和 VPC 端點政策。
**Topics**
+ [InfluxDB VPC 端點的 Timestream 考量事項](#vpce-considerations)
+ [為 Timestream for InfluxDB 建立 VPC 端點](#vpce-create-endpoint)
+ [連線至 Timestream for InfluxDB VPC 端點](#vpce-connect)
+ [控制對 VPC 端點的存取](#vpce-policy)
+ [在政策陳述式中使用 VPC 端點](#vpce-policy-condition)
+ [記錄您的 VPC 端點](#vpce-logging)
## InfluxDB VPC 端點的 Timestream 考量事項
在您為 Timestream for InfluxDB 設定介面 VPC 端點之前,請檢閱《 *AWS PrivateLink 指南*》中的[介面端點屬性和限制](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#vpce-interface-limitations)主題。
VPC 端點的 InfluxDB Timestream 支援包括下列項目。
+ 您可以使用 VPC 端點從 VPC 呼叫所有 [Timestream for InfluxDB API 操作](https://docs.aws.amazon.com/ts-influxdb/latest/ts-influxdb-api/API_Operations.html)。
+ 您可以使用 AWS CloudTrail 日誌,透過 VPC 端點稽核 Timestream for InfluxDB 資源的使用。如需詳細資訊,請參閱[記錄您的 VPC 端點](#vpce-logging)。
## 為 Timestream for InfluxDB 建立 VPC 端點
您可以使用 Amazon VPC 主控台或 Amazon VPC API,為 Timestream for InfluxDB 建立 VPC 端點。如需詳細資訊,請參閱《*AWS PrivateLink 指南*》中的「[建立介面端點](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#create-interface-endpoint)」。
+ 若要為 Timestream for InfluxDB 建立 VPC 端點,請使用下列服務名稱:
```
com.amazonaws.region.timestream-influxdb
```
例如,在美國西部 (奧勒岡) 區域 (`us-west-2`),服務名稱為:
```
com.amazonaws.us-west-2.timestream-influxdb
```
若要更輕鬆使用 VPC 端點,您可以為 VPC 端點啟用[私有 DNS 名稱](https://docs.aws.amazon.com/vpc/latest/privatelink/verify-domains.html)。如果您選取**啟用 DNS 名稱**選項,InfluxDB DNS 主機名稱的標準 Timestream 會解析為您的 VPC 端點。例如,`https://timestream-influxdb.us-west-2.amazonaws.com` 會解析為連接至服務名稱 `com.amazonaws.us-west-2.timestream-influxdb` 的 VPC 端點。
此選項可讓您更輕鬆使用 VPC 端點。根據預設, AWS SDKs 和 AWS CLI 會使用 InfluxDB DNS 主機名稱的標準 Timestream,因此您不需要在應用程式和命令中指定 VPC 端點 URL。
如需詳細資訊,請參閱《AWS PrivateLink 指南》**中的[透過介面端點存取服務](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#access-service-though-endpoint)。
## 連線至 Timestream for InfluxDB VPC 端點
您可以使用 AWS SDK、 AWS CLI 或 ,透過 VPC 端點連線至 Timestream for InfluxDB AWS Tools for PowerShell。若要指定 VPC 端點,請使用它的 DNS 名稱。
如果您在建立 VPC 端點時啟用私有主機名稱,則不需要在 CLI 命令或應用程式組態中指定 VPC 端點 URL。InfluxDB DNS 主機名稱的標準 Timestream 會解析為您的 VPC 端點。 AWS CLI 和 SDKs 預設會使用此主機名稱,因此您可以開始使用 VPC 端點連線到 Timestream for InfluxDB 區域端點,而無需變更指令碼和應用程式中的任何內容。
若要使用私有主機名稱,您 VPC 的 `enableDnsHostnames` 和 `enableDnsSupport` 屬性必須設為 `true`。如需設定這些屬性,請使用 [ModifyVpcAttribute](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ModifyVpcAttribute.html) 操作。如需詳細資訊,請參閱《Amazon VPC 使用者指南》**中的[檢視和更新 VPC 的 DNS 屬性](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc-dns-updating)。
## 控制對 VPC 端點的存取
若要控制 Timestream for InfluxDB 對 VPC 端點的存取,請將 *VPC 端點政策*連接至您的 VPC 端點。端點政策決定主體是否可以使用 VPC 端點在 Timestream for InfluxDB 資源上呼叫 Timestream for InfluxDB 操作。
您可以在建立端點時建立 VPC 端點政策,並且可以隨時變更 VPC 端點政策。使用 VPC 管理主控台,或 [CreateVpcEndpoint](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CreateVpcEndpoint.html) 或 [ModifyVpcEndpoint](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ModifyVpcEndpoint.html) 操作。您也可以[使用 AWS CloudFormation 範本](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-ec2-vpcendpoint.html)建立和變更 VPC 端點政策。如需有關如何使用 VPC 管理主控台的說明,請參閱《AWS PrivateLink 指南》**中的[建立介面端點](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#create-interface-endpoint)和[修改介面端點](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#modify-interface-endpoint)。
**注意**
InfluxDB 的 Timestream 支援從 2020 年 7 月開始的 VPC 端點政策。在該日期之前建立的 Timestream for InfluxDB 的 VPC 端點具有[預設 VPC 端點政策](#vpce-default-policy),但您可以隨時變更它。
**Topics**
+ [關於 VPC 端點政策](#vpce-policy-about)
+ [預設 VPC 端點政策](#vpce-default-policy)
+ [建立 VPC 端點政策](#vpce-policy-create)
+ [檢視 VPC 端點政策](#vpce-policy-get)
### 關於 VPC 端點政策
若要讓使用 VPC 端點的 Timestream for InfluxDB 請求成功,委託人需要兩個來源的許可:
+ [IAM 政策](security-iam-for-influxdb.md)必須授予主體許可,才能呼叫資源上的 操作。
+ VPC 端點政策必須授予委託人許可,才能使用端點提出請求。
### 預設 VPC 端點政策
每個 VPC 端點都有 VPC 端點政策,但您不需要指定政策。如果您未指定政策,則預設端點政策會允許端點上所有資源的所有委託人進行所有操作。
不過,對於 Timestream for InfluxDB 資源,委託人也必須具有從 [IAM 政策](security-iam-for-influxdb.md)呼叫 操作的許可。因此,實際上,預設政策會指出,如果委託人具有在資源上呼叫 操作的許可,他們也可以使用 端點呼叫它。
```
{
"Statement": [
{
"Action": "*",
"Effect": "Allow",
"Principal": "*",
"Resource": "*"
}
]
}
```
若要僅允許主體將 VPC 端點用於其允許操作的子集,請[建立或更新 VPC 端點政策](#vpce-policy-create)。
### 建立 VPC 端點政策
VPC 端點政策決定委託人是否具有使用 VPC 端點對資源執行操作的許可。對於 Timestream for InfluxDB 資源,主體也必須具有從 [IAM 政策](security-iam-for-influxdb.md)執行操作的許可,
每個 VPC 端點政策陳述式都需要下列元素:
+ 可執行動作的委託人
+ 可執行的動作
+ 可在其中執行動作的資源
政策陳述式不會指定 VPC 端點。相反地,它適用於連接政策的任何 VPC 端點。如需詳細資訊,請參閱《Amazon VPC 使用者指南》**中的[使用 VPC 端點控制對服務的存取](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html)。
AWS CloudTrail 會記錄使用 VPC 端點的所有操作。
### 檢視 VPC 端點政策
若要檢視端點的 VPC 端點政策,請使用 [VPC 管理主控台](https://console.aws.amazon.com/vpc/)或 [DescribeVpcEndpoints](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeVpcEndpoints.html) 操作。
下列 AWS CLI 命令會取得具有指定 VPC 端點 ID 的端點政策。
使用此命令之前,請將範例端點 ID 取代為您帳戶的有效 ID。
```
$ aws ec2 describe-vpc-endpoints \
--query 'VpcEndpoints[?VpcEndpointId==`vpc-endpoint-id`].[PolicyDocument]'
--output text
```
## 在政策陳述式中使用 VPC 端點
當請求來自 VPC 或使用 VPC 端點時,您可以控制對 Timestream for InfluxDB 資源和操作的存取。若要這樣做,請在 [IAM 政策](security-iam-for-influxdb.md)中使用下列其中一個[全域條件金鑰](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#AvailableKeys)。
+ 使用 `aws:sourceVpce` 條件索引鍵,以根據 VPC 端點來授予或限制存取。
+ 使用 `aws:sourceVpc` 條件索引鍵,以根據託管私有端點的 VPC 來授予或限制存取。
**注意**
根據 VPC 端點建立金鑰政策和 IAM 政策時,請務必謹慎執行。如果政策陳述式要求請求來自特定 VPC 或 VPC 端點,則來自代表您使用 Timestream for InfluxDB 資源之整合 AWS 服務的請求可能會失敗。
此外,當請求來自 [Amazon VPC 端點](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints.html)時,`aws:sourceIP` 條件索引鍵無效。若要限制對 VPC 端點的請求,請使用 `aws:sourceVpce` 或 `aws:sourceVpc` 條件金鑰。如需詳細資訊,請參閱《AWS PrivateLink 指南》**中的[VPC 端點和 VPC 端點服務的身分與存取管理](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-iam.html)
您可以使用這些全域條件金鑰來控制對 [CreateDbInstance](https://docs.aws.amazon.com//ts-influxdb/latest/ts-influxdb-api/API_CreateDbInstance.html) 等操作的存取,這些操作不依賴於任何特定資源。
## 記錄您的 VPC 端點
AWS CloudTrail 會記錄使用 VPC 端點的所有操作。當對 Timestream for InfluxDB 的請求使用 VPC 端點時,VPC 端點 ID 會出現在記錄請求的[AWS CloudTrail 日誌](logging-using-cloudtrail.md)項目中。您可以使用端點 ID 稽核 Timestream for InfluxDB VPC 端點的使用。
不過,您的 CloudTrail 日誌不包含其他帳戶中的主體請求的操作,或在其他帳戶中的 Timestream for InfluxDB 資源和別名的 Timestream for InfluxDB 操作請求。此外,為了保護您的 VPC,[VPC 端點政策](#vpce-policy)拒絕 (但否則會被允許) 的請求不會記錄在 [AWS CloudTrail](logging-using-cloudtrail.md) 中。