Appearance
通过在 VPC 中创建接口 VPC 端点(Interface VPC Endpoint),可以让 Kiro 的所有 API 流量在 Amazon 内部网络中流转,无需互联网网关、NAT 设备或 VPN 连接。Kiro 支持 us-east-1、eu-central-1 及 GovCloud 区域的 PrivateLink 服务名称,也可通过配置 VPN + Route 53 入站解析器让本地(on-premises)设备同样受益于私有连接。
Kiro CLI VPC 端点:通过 AWS PrivateLink 实现私有网络连接
通过在 VPC 和 Kiro 之间创建接口 VPC 端点(Interface VPC Endpoint),可以建立私有连接。接口端点由 AWS PrivateLink 提供支持,让你无需互联网网关、NAT 设备、VPN 连接或 AWS Direct Connect 即可私密访问 Kiro API。VPC 中的实例无需公网 IP,且 VPC 与 Kiro 之间的所有流量均不离开 Amazon 内部网络。
每个接口端点在你的子网中由一个或多个弹性网络接口(ENI)表示。
更多信息请参阅 Amazon VPC 用户指南中的接口 VPC 端点(AWS PrivateLink)。
配置前注意事项
在为 Kiro 创建接口 VPC 端点之前,请先阅读 Amazon VPC 用户指南中的接口端点属性与限制。
Kiro 支持从 VPC 内调用其所有 API Action,适用于已配置与 Kiro 协同工作的服务场景。
前提条件
开始操作前,确保已具备:
- 有权创建和配置资源的 AWS 账号
- 已在 AWS 账号中创建 VPC
- 熟悉 Amazon VPC 和 Kiro 相关概念
创建接口 VPC 端点
可通过 Amazon VPC 控制台或 AWS CLI 创建 Kiro 的 VPC 端点。详细步骤参见 Amazon VPC 用户指南中的创建接口端点。
创建端点时,使用以下服务名称之一:
| 服务名称 | 适用场景 |
|---|---|
com.amazonaws.us-east-1.q | 美东区域(主) |
com.amazonaws.us-east-1.codewhisperer | 美东区域(兼容旧服务名) |
com.amazonaws.eu-central-1.q | 欧洲区域(法兰克福) |
com.amazonaws.us-gov-west-1.q | AWS GovCloud(美西) |
com.amazonaws.us-gov-east-1.q | AWS GovCloud(美东) |
启用私有 DNS
如果为端点启用私有 DNS,即可使用 Kiro 的默认区域 DNS 名称发起 API 请求,例如:
q.us-east-1.amazonaws.comruntime.us-east-1.kiro.dev
更多信息参见通过接口端点访问服务。
本地(On-Premises)设备通过 PrivateLink 连接 Kiro
如果需要让本地数据中心的设备也通过 PrivateLink 访问 Kiro,按以下步骤操作:
- 在本地设备和 VPC 之间建立 VPN 连接
- 为 Kiro 创建接口 VPC 端点(见上一节)
- 配置 Amazon Route 53 入站解析器端点,使本地设备能解析 Kiro 端点的 DNS 名称
常见问题
Q:使用 VPC 端点后,Kiro 的流量真的不会经过公网吗?
是的。接口 VPC 端点通过 AWS PrivateLink 建立私有连接,VPC 与 Kiro 之间的所有流量完全在 Amazon 内部网络中流转,不经过互联网,也不需要 VPC 实例有公网 IP 地址。
Q:启用私有 DNS 有什么要求?
启用私有 DNS 需要 VPC 开启 DNS 解析(enableDnsSupport)和 DNS 主机名(enableDnsHostnames)。此外,私有 DNS 只在同一 VPC 内及通过 VPN/Direct Connect 连接的网络中生效,需配合 Route 53 入站解析器才能覆盖本地网络。
Q:GovCloud 区域的端点有何不同?
GovCloud 区域使用独立的服务名称(us-gov-west-1 和 us-gov-east-1),且 GovCloud 的 API 端点遵循 FIPS 140-2 合规要求。商业区域端点(us-east-1、eu-central-1)不能在 GovCloud 环境中使用,反之亦然。