Appearance
通过创建接口 VPC 端点,可在 VPC 与 Kiro 之间建立私有连接,流量不经过公网、NAT 或 VPN。VPC 内的实例无需公有 IP 即可访问 Kiro API。Kiro 支持多个服务名称创建端点,启用私有 DNS 后可直接使用默认区域 DNS 名称访问。本文还介绍了通过 VPN + PrivateLink 实现本地计算机接入的方案。
你可以通过创建接口 VPC 端点,在 VPC 与 Kiro 之间建立私有连接。接口端点由 AWS PrivateLink 提供支持,无需互联网网关、NAT 设备、VPN 连接或 AWS Direct Connect 即可私密访问 Kiro API。VPC 内的实例不需要公有 IP 地址即可与 Kiro API 通信,VPC 与 Kiro 之间的流量不离开 Amazon 网络。
每个接口端点在子网中由一个或多个弹性网络接口(ENI)表示。
详细信息请参阅 Amazon VPC 用户指南中的 Interface VPC endpoints (AWS PrivateLink)。
注意事项
设置 Kiro 接口 VPC 端点前,请先阅读 Amazon VPC 用户指南中的 Interface endpoint properties and limitations。
Kiro 支持从 VPC 调用其所有 API,适用于配置为与 Kiro 协作的服务场景。
前提条件
开始以下操作前,请确保具备:
- 拥有创建和配置资源适当权限的 AWS 账号
- AWS 账号中已创建 VPC
- 熟悉 AWS 服务,尤其是 Amazon VPC 和 Kiro
创建 Kiro 接口 VPC 端点
可通过 Amazon VPC 控制台或 AWS CLI 创建 Kiro 的 VPC 端点。详见 Creating an interface endpoint。
使用以下服务名称之一创建 Kiro 的 VPC 端点:
com.amazonaws.us-east-1.qcom.amazonaws.us-east-1.codewhisperercom.amazonaws.eu-central-1.qcom.amazonaws.us-gov-west-1.qcom.amazonaws.us-gov-east-1.q
启用端点的私有 DNS 后,可以使用 Kiro 的默认区域 DNS 名称发起 API 请求,例如 q.us-east-1.amazonaws.com、runtime.us-east-1.kiro.dev。
详见 Accessing a service through an interface endpoint。
本地计算机通过 VPC 连接 Kiro 端点
以下步骤说明如何从本地计算机通过 AWS PrivateLink 端点连接 Kiro:
- 在本地设备与 VPC 之间创建 VPN 连接
- 创建 Kiro 的接口 VPC 端点(见上节)
- 设置 Amazon Route 53 入站端点,使本地设备能够解析 Kiro 端点的 DNS 名称
常见问题
Q:使用 VPC 端点后,Kiro 的流量是否完全不经过公网?
A:是的。接口 VPC 端点通过 AWS PrivateLink 建立私有连接,VPC 与 Kiro 之间的流量在 Amazon 内部网络传输,不经过互联网。这对于有数据主权或网络隔离要求的企业场景非常重要。
Q:com.amazonaws.us-east-1.codewhisperer 和 com.amazonaws.us-east-1.q 有什么区别?
A:两者都可用于访问 Kiro 服务,codewhisperer 是历史服务名称(Kiro 前身为 Amazon CodeWhisperer),q 是新版服务名称。建议使用 q 系列服务名称,codewhisperer 保留以兼容旧有配置。
Q:本地办公网络能直接使用 VPC 端点连接 Kiro 吗?
A:不能直接连接。VPC 端点仅限 VPC 内部使用。本地网络需要先通过 AWS Client VPN 或 Site-to-Site VPN 接入 VPC,再结合 Route 53 入站端点进行 DNS 解析,才能从本地访问 PrivateLink 端点。