Verwenden Sie Amazon Kinesis Data Streams mit VPC-Endpunkten mit Schnittstellen - Amazon Kinesis Data Streams
Verwenden Sie Schnittstellen-VPC-Endpunkte für Kinesis Data StreamsSteuern Sie den Zugriff auf VPC-Endpunkte für Kinesis Data StreamsVerfügbarkeit von VPC-Endpunktrichtlinien für Kinesis Data Streams

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwenden Sie Amazon Kinesis Data Streams mit VPC-Endpunkten mit Schnittstellen

Sie können einen VPC-Schnittstellen-Endpunkt verwenden, um zu verhindern, dass der Datenverkehr zwischen Ihrer Amazon VPC und Kinesis Data Streams das Amazon-Netzwerk verlässt. Schnittstellen-VPC-Endpunkte benötigen kein Internet-Gateway, kein NAT-Gerät, keine VPN-Verbindung oder AWS Direct Connect Verbindung. Interface VPC-Endpoints basieren auf einer AWS Technologie AWS PrivateLink, die private Kommunikation zwischen AWS Services über eine elastic network interface mit Private IPs in Ihrer Amazon VPC ermöglicht. Weitere Informationen finden Sie unter Amazon Virtual Private Cloud und Interface VPC Endpoints ()AWS PrivateLink.

Verwenden Sie Schnittstellen-VPC-Endpunkte für Kinesis Data Streams

Zu Beginn müssen Sie die Einstellungen für Ihre Streams, Produzenten oder Verbraucher nicht ändern. Erstellen Sie einen VPC-Schnittstellen-Endpunkt für Ihre Kinesis Data Streams, um den Datenverkehr von und zu Ihren Amazon VPC-Ressourcen über den Schnittstellen-VPC-Endpunkt zu starten. VPC-Endpunkte mit FIPS-fähiger Schnittstelle sind für US-Regionen verfügbar. Weitere Informationen finden Sie unter Erstellen eines Schnittstellenendpunkts.

Die Kinesis Producer Library (KPL) und die Kinesis Consumer Library (KCL) rufen AWS Dienste wie Amazon CloudWatch und Amazon DynamoDB entweder über öffentliche Endpunkte oder VPC-Endpunkte mit privaten Schnittstellen auf, je nachdem, welche verwendet werden. Wenn Ihre KCL-Anwendung beispielsweise in einer VPC mit DynamoDB-Schnittstelle und aktivierten VPC-Endpunkten ausgeführt wird, fließen Aufrufe zwischen DynamoDB und Ihrer KCL-Anwendung über den VPC-Endpunkt der Schnittstelle.

Steuern Sie den Zugriff auf VPC-Endpunkte für Kinesis Data Streams

Mit VPC-Endpunktrichtlinien können Sie den Zugriff steuern, indem Sie entweder eine Richtlinie an einen VPC-Endpunkt anhängen oder indem Sie zusätzliche Felder in einer Richtlinie verwenden, die einem IAM-Benutzer, einer Gruppe oder einer Rolle zugeordnet ist, um den Zugriff auf den angegebenen VPC-Endpunkt zu beschränken. Verwenden Sie diese Richtlinien, um den Zugriff auf bestimmte Streams auf einen bestimmten VPC-Endpunkt zu beschränken, wenn Sie sie zusammen mit den IAM-Richtlinien verwenden, um nur Zugriff auf Kinesis-Datenstream-Aktionen über den angegebenen VPC-Endpunkt zu gewähren.

Es folgen Beispiele für Endpunktrichtlinien für den Zugriff auf Kinesis-Daten-Streams.

  • Beispiel für eine VPC-Richtlinie: schreibgeschützter Zugriff – diese Beispielrichtlinie kann einem VPC-Endpunkt zugeordnet werden. Weitere Informationen finden Sie unter Steuern des Zugriffs auf Amazon VPC-Ressourcen. Sie beschränkt Aktionen auf das Auflisten und Beschreiben eines Kinesis-Daten-Streams über den VPC-Endpunkt, dem er zugeordnet ist.

    
{
  "Statement": [
    {
      "Sid": "ReadOnly",
      "Principal": "*",
      "Action": [
        "kinesis:List*",
        "kinesis:Describe*"
      ],
      "Effect": "Allow",
      "Resource": "*"
    }
  ]
}

  • Beispiel für eine VPC-Richtlinie: Beschränken des Zugriffs auf einen bestimmten Kinesis-Daten-Stream – diese Beispielrichtlinie kann einem VPC-Endpunkt zugeordnet werden. Sie schränkt den Zugriff auf einen bestimmten Daten-Stream über den VPC-Endpunkt ein, dem er zugeordnet ist.

    
{
  "Statement": [
    {
      "Sid": "AccessToSpecificDataStream",
      "Principal": "*",
      "Action": "kinesis:*",
      "Effect": "Allow",
      "Resource": "arn:aws:kinesis:us-east-1:123456789012:stream/MyStream"
    }
  ]
}

  • Beispiel für eine IAM-Richtlinie: Beschränken Sie den Zugriff auf einen bestimmten Stream nur von einem bestimmten VPC-Endpunkt aus. Diese Beispielrichtlinie kann einem IAM-Benutzer, einer Rolle oder einer Gruppe zugewiesen werden. Sie beschränkt den Zugriff auf einen bestimmten Kinesis-Daten-Stream auf einen bestimmten VPC-Endpunkt.

    
{
   "Version": "2012-10-17",
   "Statement": [
      {
         "Sid": "AccessFromSpecificEndpoint",
         "Action": "kinesis:*",
         "Effect": "Deny",
         "Resource": "arn:aws:kinesis:us-east-1:123456789012:stream/MyStream",
         "Condition": { "StringNotEquals" : { "aws:sourceVpce": "vpce-11aa22bb" } }
      }
   ]
}

Verfügbarkeit von VPC-Endpunktrichtlinien für Kinesis Data Streams

VPC-Endpunkte mit Kinesis Data Streams Streams-Schnittstelle und Richtlinien werden in den folgenden Regionen unterstützt:

  • Europa (Paris)

  • Europa (Irland)

  • USA Ost (Nord-Virginia)

  • Europa (Stockholm)

  • USA Ost (Ohio)

  • Europa (Frankfurt)

  • Südamerika (São Paulo)

  • Europa (London)

  • Asien-Pazifik (Tokio)

  • USA West (Nordkalifornien)

  • Asien-Pazifik (Singapur)

  • Asien-Pazifik (Sydney)

  • China (Peking)

  • China (Ningxia)

  • Asia Pacific (Hong Kong)

  • Naher Osten (Bahrain)

  • Naher Osten (VAE)

  • Europa (Milan)

  • Afrika (Kapstadt)

  • Asien-Pazifik (Mumbai)

  • Asien-Pazifik (Seoul)

  • Kanada (Zentral)

  • USA West (Oregon) außer usw2-az4

  • AWS GovCloud (USA, Ost)

  • AWS GovCloud (US-West)

  • Asien-Pazifik (Osaka)

  • Europa (Zürich)

  • Asien-Pazifik (Hyderabad)