Herstellen einer Verbindung mit Amazon Athena über einen Schnittstellen-VPC-Endpunkt - Amazon Athena
Erstellen einer VPC-Endpunktrichtlinie für AthenaGemeinsam genutzte Subnetze

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Herstellen einer Verbindung mit Amazon Athena über einen Schnittstellen-VPC-Endpunkt

Sie können die Sicherheit Ihrer VPC verbessern, indem Sie einen Schnittstellen-VPC-Endpunkt (AWS PrivateLink) und einen AWS Glue -VPC-Endpunkt in Ihrer Virtual Private Cloud (VPC) verwenden. Ein VPC-Schnittstellen-Endpunkt verbessert die Sicherheit, indem er Ihnen die Kontrolle darüber gibt, welche Ziele innerhalb Ihrer VPC erreicht werden können. Jeder VPC-Endpunkt wird durch eine oder mehrere Elastic-Network-Schnittstellen (ENIs) mit privaten IP-Adressen in Ihren VPC-Subnetzen repräsentiert.

Der VPC-Endpunkt der Schnittstelle verbindet Ihre VPC ohne Internet-Gateway, NAT-Gerät, VPN-Verbindung oder Verbindung direkt mit Athena. AWS Direct Connect Die Instances in Ihrer VPC benötigen für die Kommunikation mit der Athena-API keine öffentlichen IP-Adressen.

Um Athena über Ihre VPC zu verwenden, müssen Sie für die Verbindung eine Instance innerhalb Ihrer VPC verwenden oder Ihr privates Netzwerk mit Ihrer VPC verbinden. Dies erreichen Sie mithilfe eines Amazon Virtual Private Network (VPN) oder mit AWS Direct Connect. Informationen zu Amazon VPN finden Sie unter VPN-Verbindungen im Benutzerhandbuch für Amazon Virtual Private Cloud. Weitere Informationen dazu AWS Direct Connect finden Sie unter Verbindung erstellen im AWS Direct Connect Benutzerhandbuch.

Athena unterstützt VPC-Endpunkte überall dort, AWS-Regionen wo sowohl Amazon VPC als auch Athena verfügbar sind.

Sie können einen VPC-Schnittstellen-Endpunkt erstellen, um mit den Befehlen AWS Management Console oder AWS Command Line Interface (AWS CLI) eine Verbindung zu Athena herzustellen. Weitere Informationen finden Sie unter Erstellen eines Schnittstellenendpunkts.

Wenn Sie nach dem Erstellen eines Schnittstellen-VPC-Endpunkts private DNS-Hostnamen für den Endpunkt aktivieren, wird der Athena-Standardendpunkt (https://athena.Region.amazonaws.com) in Ihren VPC-Endpunkt aufgelöst.

Wenn Sie keine privaten DNS-Hostnamen aktiviert haben, stellt Amazon VPC einen DNS-Endpunktnamen bereit, den Sie im folgenden Format verwenden können:

VPC_Endpoint_ID.athena.Region.vpce.amazonaws.com

Weitere Informationen finden Sie unter Interface VPC Endpoints (AWS PrivateLink) im Amazon VPC-Benutzerhandbuch.

Athena unterstützt Aufrufe aller API-Aktionen innerhalb Ihrer VPC.

Sie können eine Richtlinie für Amazon-VPC-Endpunkte für Athena erstellen, in der Sie Restriktionen wie die folgenden angeben:

  • Prinzipal – Prinzipal, der die Aktionen ausführen kann.

  • Aktionen – Aktionen, die ausgeführt werden können

  • Ressourcen – Die Ressourcen, für die Aktionen ausgeführt werden können.

  • Nur vertrauenswürdige Identitäten — Verwenden Sie die aws:PrincipalOrgId Bedingung, um den Zugriff nur auf Anmeldeinformationen zu beschränken, die Teil Ihrer Organisation sind. AWS Dies kann dazu beitragen, den Zugriff durch unbeabsichtigte Prinzipale zu verhindern.

  • Nur vertrauenswürdige Ressourcen – Verwenden Sie diese aws:ResourceOrgId-Bedingung, um den Zugriff auf unbeabsichtigte Ressourcen zu verhindern.

  • Nur vertrauenswürdige Identitäten und Ressourcen – Erstellen Sie eine kombinierte Richtlinie für einen VPC-Endpunkt, die den Zugriff auf unbeabsichtigte Prinzipale und Ressourcen verhindert.

Weitere Informationen finden Sie unter Steuern des Zugriffs auf Dienste mit VPC-Endpunkten im Amazon VPC-Benutzerhandbuch und Anhang 2 — Beispiele für VPC-Endpunktrichtlinien im AWS Whitepaper Building a data perimeter on. AWS

Beispiel – VPC-Endpunktrichtlinie

Das folgende Beispiel erlaubt Anfragen von Organisationsidentitäten an Unternehmensressourcen und Anfragen von Service Principals. AWS 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowRequestsByOrgsIdentitiesToOrgsResources",
            "Effect": "Allow",
            "Principal": {
                "AWS": "*"
            },
            "Action": "*",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:PrincipalOrgID": "my-org-id",
                    "aws:ResourceOrgID": "my-org-id"
                }
            }
        },
        {
            "Sid": "AllowRequestsByAWSServicePrincipals",
            "Effect": "Allow",
            "Principal": {
                "AWS": "*"
            },
            "Action": "*",
            "Resource": "*",
            "Condition": {
                "Bool": {
                    "aws:PrincipalIsAWSService": "true"
                }
            }
        }
    ]
}

Wenn Sie IAM-Richtlinien verwenden, stellen Sie sicher, dass Sie die bewährten IAM-Methoden befolgen. Weitere Informationen finden Sie unter Bewährte Methoden für die Sicherheit in IAM im IAM-Benutzerhandbuch.

Gemeinsam genutzte Subnetze

Sie können VPC-Endpunkte in Subnetzen, die mit Ihnen geteilt werden, nicht erstellen, beschreiben, ändern oder löschen. Sie können die VPC-Endpunkte jedoch in Subnetzen verwenden, die mit Ihnen geteilt werden. Weitere Informationen zur Freigabe von VPCs finden Sie unter Freigeben Ihrer VPC für andere Konten im Amazon-VPC-Benutzerhandbuch.